No contexto da norma internacional ISO/IEC 27005, o processo...

Próximas questões
Com base no mesmo assunto
Q914463 Segurança da Informação
No contexto da norma internacional ISO/IEC 27005, o processo de gestão de risco é definido por oito atividades coordenadas, das quais sete estão listadas a seguir.
Definição do contexto Identificação de riscos Estimativa de riscos Avaliação de riscos Tratamento do risco Aceitação do risco Monitoramento e análise crítica de riscos
Assinale a opção que apresenta a atividade que completa a lista acima.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é B - Comunicação do risco.

A questão aborda o processo de gestão de risco conforme a norma ISO/IEC 27005, que é uma norma internacional que fornece orientações para a gestão de riscos de segurança da informação. Ela define um processo sistemático para identificar, avaliar e tratar riscos, assegurando que as informações da organização sejam protegidas de forma adequada.

A norma especifica oito atividades coordenadas no processo de gestão de risco. As atividades listadas na questão são:

  • Definição do contexto
  • Identificação de riscos
  • Estimativa de riscos
  • Avaliação de riscos
  • Tratamento do risco
  • Aceitação do risco
  • Monitoramento e análise crítica de riscos

Faltava identificar a atividade que completa a lista. A alternativa B - Comunicação do risco é a correta porque a comunicação do risco é uma parte essencial do processo de gestão de riscos. Esta atividade garante que todas as partes interessadas estejam cientes dos riscos identificados, das decisões tomadas e das ações executadas. A comunicação eficaz permite uma melhor coordenação e resposta aos riscos.

Vamos analisar as alternativas incorretas:

A - Administração do risco: Embora a administração de risco seja um conceito amplo e importante, a norma ISO/IEC 27005 não a lista como uma atividade específica do processo de gestão de riscos.

C - Eliminação do risco: A eliminação do risco pode ser uma estratégia dentro do tratamento do risco, mas não é considerada uma atividade separada no processo de gestão de risco conforme a norma.

D - Incorporação do risco: Este termo não é utilizado na norma ISO/IEC 27005. A gestão de risco pode incluir aceitar ou tratar riscos, mas "incorporar" não é uma atividade formalmente definida.

E - Responsabilização do risco: A responsabilização pode ser parte da governança de risco, mas não é listada como uma atividade específica no processo de gestão de riscos na norma ISO/IEC 27005.

Espero que essa explicação tenha deixado claro o contexto da norma ISO/IEC 27005 e o motivo pelo qual a alternativa B - Comunicação do risco é a correta. Se tiver mais dúvidas ou precisar de mais esclarecimentos, estarei à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Eu guardo o seguinte mnemônico para o processo de gestão de risco conforme a norma ISO 27005-2011

D efinição de contexto

A valiação de riscos  (IDENTIFIÇÃO DOS RISOS, ANÁLISE DOS RISOS , AVALIAÇÃO DOS RISCOS)

T ratamento de riscos (MORE COM riscos)(é um mnômico de controle de tratamento de riscos.)

A ceitação dos riscos

C omunição ...

M onitoramento . . .

 

 

Letra B

https://uploaddeimagens.com.br/imagens/27005-2011-png

Até que em fim, um Mmnimocico para essa desgraça!

D efinição de contexto

valiação de riscos 

T ratamento de riscos 

E stimativa

C omunição ...

ceitação dos riscos

M onitoramento .

I dentificação

Gabarito B

Definição do contexto
 Security needs Identification for Enterprise Assets


Identificação dos Riscos
 Threat Assessment


Análise de riscos
 Asset Valuation
 Threat Assessment
 Vulnerability Assessment
 Enterprise Security Approaches


Avaliação de riscos
 Risk Determination


Tratamento do risco
 Enterprise Security Services


Aceitação do Risco
 Security needs Identification for Enterprise Assets
 Enterprise Security Approaches
 Document the Security Goals


Comunicação do risco
 Enterprise Partner Communication
 Share Responsibility for Security
 Document the Security Goals


Monitoramento e Análise
Crítica de Riscos
 Security Accounting Requirements
 Security Accounting Design
 Audit Requirements
 Audit Design
 Audit Trails & Logging Requirements
 Audit Trails & Logging Design
 Non-Repudiation Requirements
 Non- Repudiation Design
 Documentation Review
 Log Review

 

 

 

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo