A respeito de segurança da informação, julgue o seguinte ite...
A respeito de segurança da informação, julgue o seguinte item.
A análise de riscos é a atividade do processo de gestão de
riscos que permite comparar o risco estimado com os
critérios de riscos predefinidos, para determinar a
importância do risco.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: Errado
Para compreender a razão pela qual a afirmação é incorreta, é fundamental entender o processo de gestão de riscos dentro do contexto da segurança da informação. A gestão de riscos é uma metodologia essencial para identificar, avaliar e priorizar riscos com o objetivo de minimizar, monitorar e controlar a probabilidade ou impacto de eventos indesejados. Esse processo é composto por diversas atividades distintas, que incluem:
- Identificação de riscos: onde os possíveis riscos são reconhecidos.
- Análise de riscos: onde os riscos identificados são avaliados, considerando-se a probabilidade de ocorrência e o impacto que podem acarretar à organização.
- Avaliação de riscos: momento em que os riscos analisados são comparados a critérios de riscos predefinidos para determinar a importância de cada um e decidir sobre a necessidade de tratamento.
- Tratamento de riscos: envolve a seleção e implementação de medidas para mitigar, transferir, aceitar ou evitar os riscos.
A confusão na questão apresentada ocorre entre os termos "análise de riscos" e "avaliação de riscos". A análise de riscos é a etapa onde se define a natureza do risco e se determinam os elementos que o compõem, como causa, consequência e probabilidade. Já a avaliação de riscos é a fase subsequente na qual os riscos analisados são comparados com os critérios de risco estabelecidos pela organização para determinar sua relevância e a necessidade de tratamento.
Portanto, a afirmação "A análise de riscos é a atividade do processo de gestão de riscos que permite comparar o risco estimado com os critérios de riscos predefinidos, para determinar a importância do risco" está errada, pois isso descreve a avaliação de riscos, e não a análise de riscos.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
GABARITO ERRADO
A análise AVALIAÇÃO de riscos é a atividade do processo de gestão de riscos que permite comparar o risco estimado com os critérios de riscos predefinidos, para determinar a importância do risco.
A análise é o uso sistemático de informações para identificar fontes e estimar o risco
FONTE: ISO 27001
Só pra completar o que o amigo escreveu...
Análise de risco: Processo para compreender a natureza do risco e para determinar o nível de risco
Avaliação (assessment) de risco: Processo geral de identificação de risco, análise de risco e avaliação de risco.
Avaliação (evaluation) de risco: Processo de comparação dos resultados da análise de risco com os critérios
Resumo da ISO 27001:2013 – SGSI- Estratégia concursos
ERRADO, é conceito de avaliação de risco.
Análise de risco: identificar fontes e estimar o risco
Avaliação de risco: comparar o risco estimado com critérios de riscos predefinidos para determinar a importância do risco.
Fonte: RESOLUÇÃO CGTIC Nº 02, DE 09 DE OUTUBRO DE 2020
N vem antes do V,
Primeiro você:
Identifica os riscos - > Riscos potencias
ANalisa os riscos -> Analisa a probabilidade, impacto, etc
AValiação dos riscos -> Comparar os resultados da análise com critérios de aceitação dos riscos, entender a importância do risco.
Logo a questão se trata de AVALIAÇÃO e não Análise, gab: Errado. Bons estudos!
ERRADO!
O conceito descrito no item refere-se, na verdade, à avaliação de risco. A avaliação de risco é a atividade do processo de gestão de riscos que envolve comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos