A respeito da Norma NBR ISO/IEC NBR 27.005, assinale a alter...

Alternativa correta: D - É possível aceitar um risco, mesmo que as ações de tratamento desse risco ainda não tenham sido tomadas, desde que haja um compromisso de ações em um período de tempo estipulado.

A questão aborda a Gestão de Riscos, conforme a Norma NBR ISO/IEC 27005, que fornece diretrizes para o gerenciamento de riscos de segurança da informação. Vamos entender como cada alternativa se relaciona com esses conceitos.

Alternativa A: A norma estabelece uma escala de aceitação de riscos, que deve ser seguida pelas organizações.

Essa alternativa está incorreta porque a NBR ISO/IEC 27005 não estabelece uma escala fixa de aceitação de riscos. Em vez disso, ela orienta as organizações a definir seus próprios critérios de aceitação de risco com base em suas necessidades e contexto específicos.

Alternativa B: Os critérios de aceitação de risco não podem ser diferenciados pelo tempo de existência do risco, apenas pelo valor do impacto do evento.

Incorreta. Os critérios de aceitação de risco podem sim considerar diversos fatores, incluindo o tempo de existência do risco e outros aspectos, além do valor do impacto do evento.

Alternativa C: Os critérios de aceitação de risco devem ser expressos como razão entre o lucro e o risco estimado.

Também incorreta. Os critérios de aceitação de risco não precisam ser expressos dessa maneira. Eles podem envolver vários fatores, como valor do impacto, probabilidade de ocorrência, políticas da organização, entre outros.

Alternativa D: É possível aceitar um risco, mesmo que as ações de tratamento desse risco ainda não tenham sido tomadas, desde que haja um compromisso de ações em um período de tempo estipulado.

Correta. A NBR ISO/IEC 27005 permite que uma organização aceite um risco, mesmo que as ações de tratamento ainda não tenham sido implementadas, contanto que haja um plano e um compromisso para tratar esse risco em um prazo definido. Isso é conhecido como "aceitação de risco com compromisso de tratamento".

Alternativa E: Os critérios de aceitação de risco são independentes das políticas e das metas da organização, vinculando-se a fatores financeiros, sociais e de reputação.

Incorreta. Os critérios de aceitação de risco devem estar alinhados com as políticas e metas da organização. Embora fatores financeiros, sociais e de reputação sejam importantes, eles não são independentes das políticas organizacionais.

Espero que esta explicação tenha ajudado a esclarecer a questão e os conceitos envolvidos. Caso tenha mais dúvidas, estou à disposição para ajudar!