Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, ju...
Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, julgue o item subsequente.
A ABNT NBR ISO/IEC 27005 provê metodologia específica
para o gerenciamento de riscos em segurança da informação.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: E (errado)
A questão aborda a ABNT NBR ISO/IEC 27005, que é uma norma que trata do gerenciamento de riscos em segurança da informação. A norma é parte da série ISO/IEC 27000, que se concentra em sistemas de gestão da segurança da informação (SGSI).
Vamos analisar a afirmativa e entender por que ela está incorreta:
A afirmativa diz que a ABNT NBR ISO/IEC 27005 provê metodologia específica para o gerenciamento de riscos em segurança da informação.
Justificativa da alternativa correta (E): A ABNT NBR ISO/IEC 27005 efetivamente fornece diretrizes e um framework para o gerenciamento de riscos em segurança da informação, mas não especifica uma metodologia única ou específica. Em outras palavras, a norma apresenta os princípios e processos necessários para gerenciar riscos, mas permite que as organizações escolham a metodologia que melhor se adapta às suas necessidades e contextos específicos. Isso significa que a norma é flexível em relação à escolha de metodologias, desde que respeitem os princípios e processos estabelecidos.
Entendimento da NBR ISO 22301: Para complementar, a NBR ISO 22301 é uma norma que trata da gestão de continuidade de negócios, e não está diretamente relacionada ao gerenciamento de riscos de segurança da informação, mas sim à capacidade da organização de continuar operando durante e após incidentes disruptivos.
Com isso, podemos concluir que a afirmativa da questão está incorreta, pois a ABNT NBR ISO/IEC 27005 não provê uma metodologia específica, mas sim diretrizes para a escolha e implementação de uma metodologia de gerenciamento de riscos adequada.
Se tiver mais dúvidas ou precisar de mais explicações, estou à disposição para ajudar!
```Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gab: Errado.
O erro está em específico.
Por ex: O seu Zé tem uma padaria, essa ISO abrange específico para o comércio dele? - Não.
Aqui abrange o máximo, ex: Padaria, farmácia, indústrias, escritórios etc.
Concluindo, DIFICILMENTE você verá um ISO específico, eles visam abranger o máximo de pessoas.
Questão parece que foi baseada na Introdução da norma. Segundo a ABNT NBR ISOIEC 27005:2019:
Introdução
...
Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita neste documento para implementar os requisitos de um SGSI. Este documento é baseado no método de identificação de riscos de ativos, ameaças e vulnerabilidades, que não é mais requerido pela ABNT NBR ISO/IEC 27001. Existem outras abordagens que podem ser usadas.
A norma ABNT NBR ISO/IEC 27005 fornece DIRETRIZES para o gerenciamento de riscos em segurança da informação, não uma metodologia específica.
ERRADO!
ISO 27005: Este documento fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. Entretanto, este documento não fornece um método específco para a gestão de riscos de segurança da informação.
Cabe à organização defnir sua abordagem ao processo de gestão de riscos, considerando, por exemplo, o escopo de um sistema de gestão de segurança (SGSI), o contexto da gestão de riscos e o seu setor de atividade econômica.
FONTE: NBR 27005
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo