No contexto da norma internacional ISO/IEC 27005, o processo...

A alternativa correta é B - Definição do contexto.

No contexto da norma internacional ISO/IEC 27005, que trata da gestão de riscos em segurança da informação, o processo de gestão de risco é composto por um conjunto de atividades coordenadas. Este conjunto é essencial para garantir que os riscos sejam identificados, avaliados, tratados e monitorados de maneira eficaz. Vou explicar cada alternativa e como ela se relaciona com a norma ISO/IEC 27005.

Alternativa B - Definição do contexto: Correta. A 'Definição do contexto' é a atividade que completa a lista fornecida na questão. Na ISO/IEC 27005, esta atividade é fundamental porque estabelece o escopo e os critérios para a gestão de riscos, levando em conta o ambiente organizacional e os objetivos da empresa. É a base sobre a qual todo o processo de gestão de risco é construído.

Vamos agora analisar as alternativas incorretas:

Alternativa A - Administração do risco: Incorreta. Embora a administração do risco seja uma atividade importante dentro do contexto mais amplo da gestão de riscos, ela não é especificamente mencionada como uma das atividades coordenadas na ISO/IEC 27005. A administração do risco pode ser entendida como uma função gerencial contínua que envolve várias das atividades listadas na questão.

Alternativa C - Eliminação do risco: Incorreta. A eliminação do risco não é uma atividade destacada na ISO/IEC 27005. Na prática, a eliminação completa de um risco é frequentemente impraticável; em vez disso, a norma foca no 'Tratamento do risco', que pode envolver a redução, transferência ou aceitação do risco.

Alternativa D - Incorporação do risco: Incorreta. Esta alternativa não faz parte do processo descrito na ISO/IEC 27005. 'Incorporação do risco' é um termo que não se alinha com a terminologia usada na norma. O foco é em como gerenciar e mitigar riscos, não em incorporá-los.

Alternativa E - Responsabilização do risco: Incorreta. Embora a responsabilização ou atribuição de responsabilidades seja um conceito importante em qualquer processo de gestão de riscos, não é identificada como uma das atividades coordenadas na ISO/IEC 27005. As responsabilidades são geralmente definidas dentro do escopo da 'Definição do contexto' e 'Comunicação do risco'.

Espero que esta explicação tenha sido clara e tenha ajudado a entender melhor o tema da questão! Se precisar de mais alguma coisa, estarei à disposição para ajudar.

Resposta está na página 9 da norma ISO 27005-2011

Letra B

https://uploaddeimagens.com.br/imagens/27005-2011-png

D efinir contexto

A avaliação de risco

T tratamento de risco

E stimativa

C comunicação

A ceitação

M onitoramento

I dentifcação do risco

Gabarito B

Definição do contexto
 Security needs Identification for Enterprise Assets

Identificação dos Riscos
 Threat Assessment

Análise de riscos
 Asset Valuation
 Threat Assessment
 Vulnerability Assessment
 Enterprise Security Approaches

Avaliação de riscos
 Risk Determination

Tratamento do risco
 Enterprise Security Services

Aceitação do Risco
 Security needs Identification for Enterprise Assets
 Enterprise Security Approaches
 Document the Security Goals

Comunicação do risco
 Enterprise Partner Communication
 Share Responsibility for Security
 Document the Security Goals

Monitoramento e Análise
Crítica de Riscos
 Security Accounting Requirements
 Security Accounting Design
 Audit Requirements
 Audit Design
 Audit Trails & Logging Requirements
 Audit Trails & Logging Design
 Non-Repudiation Requirements
 Non- Repudiation Design
 Documentation Review
 Log Review

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !

Engraçado que tem a resposta dessa questão em outra questão (e vice e versa) na mesma prova!! kkkk:

https://www.qconcursos.com/questoes-de-concursos/questoes/227d8ab7-86