Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, ju...

Alternativa correta: E (errado)

A questão aborda a ABNT NBR ISO/IEC 27005, que é uma norma que trata do gerenciamento de riscos em segurança da informação. A norma é parte da série ISO/IEC 27000, que se concentra em sistemas de gestão da segurança da informação (SGSI).

Vamos analisar a afirmativa e entender por que ela está incorreta:

A afirmativa diz que a ABNT NBR ISO/IEC 27005 provê metodologia específica para o gerenciamento de riscos em segurança da informação.

Justificativa da alternativa correta (E): A ABNT NBR ISO/IEC 27005 efetivamente fornece diretrizes e um framework para o gerenciamento de riscos em segurança da informação, mas não especifica uma metodologia única ou específica. Em outras palavras, a norma apresenta os princípios e processos necessários para gerenciar riscos, mas permite que as organizações escolham a metodologia que melhor se adapta às suas necessidades e contextos específicos. Isso significa que a norma é flexível em relação à escolha de metodologias, desde que respeitem os princípios e processos estabelecidos.

Entendimento da NBR ISO 22301: Para complementar, a NBR ISO 22301 é uma norma que trata da gestão de continuidade de negócios, e não está diretamente relacionada ao gerenciamento de riscos de segurança da informação, mas sim à capacidade da organização de continuar operando durante e após incidentes disruptivos.

Com isso, podemos concluir que a afirmativa da questão está incorreta, pois a ABNT NBR ISO/IEC 27005 não provê uma metodologia específica, mas sim diretrizes para a escolha e implementação de uma metodologia de gerenciamento de riscos adequada.

Se tiver mais dúvidas ou precisar de mais explicações, estou à disposição para ajudar!

Gab: Errado.

O erro está em específico.

Por ex: O seu Zé tem uma padaria, essa ISO abrange específico para o comércio dele? - Não.

Aqui abrange o máximo, ex: Padaria, farmácia, indústrias, escritórios etc.

Concluindo, DIFICILMENTE você verá um ISO específico, eles visam abranger o máximo de pessoas.

Questão parece que foi baseada na Introdução da norma. Segundo a ABNT NBR ISOIEC 27005:2019:

Introdução

...

Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI. Este documento é baseado no método de identificação de riscos de ativos, ameaças e vulnerabilidades, que não é mais requerido pela ABNT NBR ISO/IEC 27001. Existem outras abordagens que podem ser usadas.

A norma ABNT NBR ISO/IEC 27005 fornece DIRETRIZES para o gerenciamento de riscos em segurança da informação, não uma metodologia específica.

ERRADO!

ISO 27005: Este documento fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. Entretanto, este documento não fornece um método específco para a gestão de riscos de segurança da informação.

Cabe à organização defnir sua abordagem ao processo de gestão de riscos, considerando, por exemplo, o escopo de um sistema de gestão de segurança (SGSI), o contexto da gestão de riscos e o seu setor de atividade econômica.

FONTE: NBR 27005