Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...

A alternativa correta é a letra C - certo.

Vamos analisar o porquê dessa resposta:

As normas NBR ISO/IEC 27001, 27002 e 27005 são essenciais para a gestão da segurança da informação. São elas que fornecem diretrizes, requisitos e boas práticas para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI).

NBR ISO/IEC 27001 é a norma que define os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Ela é crucial para garantir que a organização esteja preparada para lidar com riscos à segurança da informação.

NBR ISO/IEC 27002 oferece um código de prática para controles de segurança da informação, fornecendo diretrizes para a seleção, implementação e gerenciamento de controles considerando o ambiente de risco específico da organização.

Por fim, a NBR ISO/IEC 27005 foca especificamente na gestão de riscos de segurança da informação, descrevendo um processo estruturado para identificar, avaliar e tratar riscos.

Dentro desse contexto, a questão menciona a importância de considerar as expectativas e percepções das partes interessadas, assim como a imagem e a reputação da organização ao desenvolver critérios de avaliação de riscos. Isso está alinhado com a abordagem dessas normas, que promovem uma visão holística da gestão de segurança, considerando não apenas os aspectos técnicos, mas também os impactos organizacionais e de negócios.

Ao avaliar riscos, é essencial entender como as partes interessadas, sejam elas clientes, fornecedores, colaboradores ou outras entidades, percebem a segurança da informação. Isso influencia diretamente a reputação da organização. Uma falha de segurança pode prejudicar gravemente a confiança dos stakeholders e, consequentemente, a imagem da empresa.

Portanto, considerar esses aspectos durante a avaliação de riscos é uma prática recomendada pelas normas citadas, corroborando a resposta correta da questão.

Em resumo, a alternativa C - certo está correta porque a gestão de riscos de segurança da informação deve, sim, incluir a análise das expectativas e percepções dos stakeholders, bem como o impacto na imagem e reputação da organização. Não há alternativas incorretas a serem discutidas, pois a questão era de julgamento (certo ou errado).

Espero ter ajudado a esclarecer a questão. Se tiver mais dúvidas, estou à disposição!

Questão em conformidade com a NBR ISO/IEC 27005.

Vamos lá.

Seria incoerente desconsiderar o $$$ na avaliação de risco.

7.2.2 Critérios para a avaliação de riscos

— expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (e a reputação.)

Logo, gabarito certo.

Foco!

27005 essa

JUSTIFICATIVA: CERTO. Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens: (...) Expectativas e percepções das partes interessadas e consequências negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação. (NBR ISO/IEC 27005:2011)