De acordo com a ABNT NBR ISO/IEC 27002 de 2005 é essencial ...

Alternativa correta: D - Somente as afirmações I e IV estão corretas.

Vamos analisar cada uma das afirmações e entender por que a alternativa D é a correta.

Afirmação I: “Uma fonte de requisitos de segurança da informação é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.”

Essa afirmação está correta. De acordo com a ISO/IEC 27002, a identificação dos requisitos de segurança da informação deve considerar diversas fontes, incluindo a legislação, regulamentações e contratos que a organização e seus associados estão obrigados a cumprir. Isso garante que a segurança da informação atenda a todas as obrigações legais e contratuais, bem como ao contexto social e cultural da organização.

Afirmação II: “Uma vez que os requisitos de segurança da informação, os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam eliminados. Não é aceitável a simples redução a níveis aceitáveis.”

Essa afirmação está incorreta. A ISO/IEC 27002 sugere que os riscos devem ser tratados de maneira a reduzi-los a níveis aceitáveis. Não é sempre possível ou prático eliminar completamente os riscos. O foco é na redução dos riscos a um nível que seja aceitável para a organização.

Afirmação III: “A análise/avaliação de riscos deve ser realizada na implantação do SGI e, posteriormente, semestralmente, independente de quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.”

Essa afirmação está incorreta. A ISO/IEC 27002 não especifica que avaliações de risco devem ser feitas semestralmente. As avaliações devem ser realizadas periodicamente e sempre que houver mudanças significativas no ambiente ou nas operações da organização que possam afetar os riscos.

Afirmação IV: “Uma possível opção para o tratamento do risco inclui transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.”

Essa afirmação está correta. A transferência de riscos é uma das estratégias de tratamento de riscos descritas pela ISO/IEC 27002. Isso pode ser feito, por exemplo, contratando seguros ou terceirizando serviços para fornecedores especializados.

Com base na análise acima, a alternativa D é a correta, pois somente as afirmações I e IV estão de acordo com os princípios estabelecidos pela ISO/IEC 27002.

Lebra: D

Após o processo de análise e avaliação dos riscos, existem várias opções para o seu tratamento:

 Aplicar medidas de segurança: escolher as medidas mais apropriadas para reduzir o custo;

 Aceitar o risco: conhecer e conscientemente aceitar o risco, sabendo que este atenta à política de segurança da organização;

 Evitar o risco: não permitir ações que possam sequer causar a ocorrência de riscos;

 Transferir o risco: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Estas medidas são definidas pela norma ISO/IEC 27002, que dá suporte ao desenvolvimento de planos de segurança e orienta de melhor forma a Gestão da Segurança da Informação.

Fonte: https://web.fe.up.pt/~jmcruz/seginf/seginf.1314/trabs-als/final/G4-ISO.27000.final.pdf