Considere os processos abaixo. Processos do SGSI − Planejar....

A alternativa correta é A - "Aceitação do risco" está alinhado com o processo do SGSI "Planejar".

A questão aborda a norma ABNT NBR ISO/IEC 27005:2011, que trata do alinhamento entre o processo do Sistema de Gestão da Segurança da Informação (SGSI) e o processo de Gestão de Riscos de Segurança da Informação (GRSI). Para resolver essa questão, é necessário entender os processos envolvidos tanto no SGSI quanto no GRSI e saber como eles se inter-relacionam.

Vamos analisar cada alternativa:

A - "Aceitação do risco" está alinhado com o processo do SGSI "Planejar".

Essa alternativa está correta. No contexto da norma, "Planejar" no SGSI inclui a definição de estratégias e a aceitação de certos riscos como parte da gestão desses riscos. Portanto, a aceitação do risco se alinha com a fase de planejamento.

B - "Avaliação de riscos" está alinhado com o processo do SGSI "Verificar".

Essa alternativa está incorreta. A "Avaliação de riscos" geralmente está mais alinhada com a fase de "Planejamento" e "Execução" no SGSI, pois envolve a identificação, análise e avaliação dos riscos antes de qualquer ação ser tomada. "Verificar" está relacionado à análise de desempenho e conformidade.

C - "Manter e melhorar o processo de GRSI" está alinhado com o processo do SGSI "Verificar".

Essa alternativa está incorreta. "Manter e melhorar o processo de GRSI" se alinha mais com o processo de "Agir" no ciclo PDCA, que trata da implementação de melhorias com base nas verificações e análises realizadas.

D - "Implementação do plano de tratamento do risco" está alinhado com o processo do SGSI "Agir".

Essa alternativa está incorreta. "Implementação do plano de tratamento do risco" está, na verdade, mais alinhado com a fase de "Executar" no SGSI, onde as ações planejadas são colocadas em prática. "Agir" envolve ações corretivas e de melhoria após a verificação.

E - "Aceitação do risco" está alinhado com o processo do SGSI "Verificar".

Essa alternativa está incorreta. Como explicado na alternativa A, a aceitação do risco está relacionada ao planejamento, onde os riscos são avaliados e aceitos como parte da estratégia geral.

Espero que essa explicação tenha ajudado a entender o alinhamento dos processos do SGSI com os processos de GRSI conforme a norma ABNT NBR ISO/IEC 27005:2011. Se tiver mais dúvidas, sinta-se à vontade para perguntar!

 a) "Aceitação do risco" está alinhado com o processo do SGSI "Planejar".  - Gabarito da Questão.

 b) "Avaliação de riscos" está alinhado com o processo do SGSI "Verificar" - "Planejar". 

 c) "Manter e melhorar o processo de GRSI" está alinhado com o processo do SGSI "Verificar" - "Agir". 

 d) "Implementação do plano de tratamento do risco" está alinhado com o processo do SGSI "Agir" - "Executar". 

 e) "Aceitação do risco" está alinhado com o processo do SGSI "Verificar" - "Planejar".

PDCA x 27005

Planejar: Definição do contexto, Análise/avaliação de riscos, Plano de tratamento do risco, Aceitação do risco.
Executar: Implementação do plano de tratamento do risco.
Verificar: Monitoramento contínuo e análise crítica de riscos
Agir: Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação.

Dica para aprender sobre as fases em relação ao PDCA: Apenas os 3 últimos processos não são de planejamento. Sendo assim, os processos de GRSI ficam organizados como:

Planejamento (Plan):

− Definição do contexto.

− Avaliação de riscos.

− Definição do plano de tratamento do risco.

− Aceitação do risco.

Realizar/executar (Do)

− Implementação do plano de tratamento do risco.

Verificar (Check)

− Monitoramento contínuo e análise crítica de riscos.

Agir (Act)

− Manter e melhorar o processo de GRSI.