Com relação à NBR 27005, assinale a opção correta, no que se...

Com base no mesmo assunto

Q276042

Ano: 2012 Banca: CESPE / CEBRASPE Órgão: TJ-RO Prova: CESPE - 2012 - TJ-RO - Analista Judiciário - Analista de Sistemas Suporte |

Q276042 Segurança da Informação

Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.

Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.

Os riscos residuais são conhecidos antes da comunicação do risco.

Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.

Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.

A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.

Você errou! Resposta:

teste

Parabéns! Você acertou!

teste

Comentários

Veja os comentários dos nossos alunos

a) errado - aceitar, reter e transferir risco são formas de tratamento de riscos diferentes.
b) errado - a comunicação do risco é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser gerenciados. A comunicação do risco auxiliará inclusive a identificação de riscos, e será executada continuamente. Logo eja será exercida muito antes da definição dos riscos residuais.
c) errado - Controles apropriados e devidamente justificados serão selecionados para satisfazer os requisitos identificados através da análise/avaliação de riscos e do tratamento dos mesmos para a redução de riscos.
d) errado - da mesma maneira da alternativa B, a comunicação de risco é contínua e exercida desde muito antes de ser definido o plano de tratamento do risco e permanece sua implementação.
e) correto - A definição do contexto é a primeira etapa do processo de Planejamento do GRSI. Serão acertados o escopo e os limites da gestão de risco. A identificação de valor dos ativos será realizada depois, no processo de análise de riscos.

Lembrando que dentro da identificação dos riscos existem as seguintes fases:
- Identificação dos ativos
- Identificação das ameaças
- Identificação dos controles existentes
- Identificação das vulnerabilidades
- Identificação das consequências

Fonte: Material cathedra - Prof. Gleyson

Só um comentário quanto ao respondido pelo Marcelo Borges:

Aceitar e reter riscos não são formas diferentes de tratamento de riscos, são iguais. Retenção de riscos é a mesma coisa que aceitação de risco.

Os tratamentos diferentes adotados pela 27005 são: Reter (aceitar) risco, Redução (mitigar) de risco, Evitar o risco e Transferir o risco.

Gabarito E

Segundo a ISO 27005,"A análise/avaliação de riscos determina o valor dos ativos de informação, identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir), identifica os controles existentes e seus efeitos no risco identificado, determina as conseqüências possíveis e, finalmente, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto."

SEU FUTURO MERECE ESSA CHANCE!

SEU FUTURO MERECE ESSA CHANCE!

Com relação à NBR 27005, assinale a opção correta, no que se...

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas