Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...

A alternativa correta para a questão é Errado (E). Vamos entender o porquê.

Primeiramente, é importante compreender o papel da NBR ISO/IEC 27005 no contexto da Segurança da Informação. Essa norma fornece diretrizes para o processo de gestão de riscos, que é fundamental para a proteção dos ativos de informação de uma organização.

Um ponto crucial da NBR ISO/IEC 27005 é que ela não limita a identificação de riscos apenas àqueles cujas fontes sejam evidentes ou estejam sob o controle da organização. Na verdade, a norma recomenda uma abordagem abrangente para a identificação de riscos.

Vamos agora justificar detalhadamente a alternativa correta:

Justificativa da Alternativa Correta:

A NBR ISO/IEC 27005 indica que a identificação de riscos deve considerar uma ampla gama de fontes, incluindo:

• Riscos internos e externos;
• Riscos cujas fontes podem não ser imediatamente evidentes;
• Riscos que podem não estar diretamente sob o controle da organização.

Portanto, ao afirmar que a norma recomenda incluir apenas os riscos cujas fontes sejam evidentes e estejam sob o controle da organização, a questão está incorreta. A norma promove uma visão mais abrangente e completa da gestão de riscos.

Entendendo as Alternativas Incorretas:

A alternativa incorreta sugeriria que a organização deveria ignorar riscos menos óbvios ou de fontes que não estejam sob seu controle direto. Isso seria uma abordagem limitada e inadequada para a gestão de riscos, pois muitos riscos significativos podem surgir de fontes externas ou serem inicialmente não evidentes.

Resumindo, a norma NBR ISO/IEC 27005 preconiza uma análise abrangente e detalhada dos possíveis riscos, sem restringi-los apenas às fontes evidentes e controláveis pela organização.

Espero que essa explicação tenha esclarecido o tema e a justificativa da resposta correta. Caso tenha mais dúvidas ou precise de mais detalhes sobre a norma ou outro assunto relacionado, estou à disposição!

Conforme a referida norma: "convém que a identificação de riscos inclua os riscos cujas fontes estejam ou não sob controle da organização..."

Portanto, gabarito errado.

Conforme a resposta da própria banca:

JUSTIFICATIVA: ERRADO. O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas subseções de 8.2 servem para coletar dados de entrada para a atividade de análise de riscos. Convém que a identificação de riscos inclua os riscos cujas fontes estejam ou não sob controle da organização, mesmo que a fonte ou a causa dos riscos não seja evidente. (NBR ISO/IEC 27005:2011)

JUSTIFICATIVA: ERRADO. O propósito da identificação de riscos é determinar eventos que possam causar uma perda potencial e deixar claro como, onde e por que a perda pode acontecer. As etapas descritas nas subseções de 8.2 servem para coletar dados de entrada para a atividade de análise de riscos. Convém que a identificação de riscos inclua os riscos cujas fontes estejam ou não sob controle da organização, mesmo que a fonte ou a causa dos riscos não seja evidente. (NBR ISO/IEC 27005:2011)