Segundo a norma NBR ISO/IEC 17799:2005, NÃO se trata de uma ...

Alternativa Correta: B - políticas de riscos.

A questão aborda a norma NBR ISO/IEC 17799:2005, que envolve a gestão de riscos em segurança da informação. Para resolver essa questão, é necessário entender as etapas que compõem o processo de gestão de riscos de acordo com essa norma.

A alternativa correta é a B, pois "políticas de riscos" não é considerada uma etapa da gestão de riscos segundo a norma NBR ISO/IEC 17799:2005. Vamos analisar o porquê e entender as alternativas corretas e incorretas.

Justificativa das Alternativas:

A - comunicação de riscos: A comunicação dos riscos é uma etapa essencial na gestão de riscos. Ela envolve compartilhar informações sobre os riscos identificados e as decisões para mitigá-los, garantindo que todos os stakeholders estejam cientes e possam agir adequadamente.

C - análise/avaliação de riscos: Essa é uma das etapas fundamentais na gestão de riscos. A análise/avaliação de riscos envolve identificar, avaliar e priorizar os riscos, permitindo que a organização entenda quais são os mais críticos e como devem ser tratados.

D - tratamento de riscos: O tratamento de riscos refere-se às ações tomadas para mitigar, transferir, aceitar ou evitar os riscos identificados. Essa etapa é vital para garantir que os riscos sejam gerenciados de acordo com a estratégia da organização.

E - aceitação de riscos: Aceitar riscos é uma das possíveis respostas durante a gestão de riscos. Quando um risco é aceito, isso significa que a organização decidiu não tomar medidas específicas contra ele, possivelmente porque o custo de mitigação é maior que o impacto potencial do risco.

Conclusão:

A única alternativa mencionada que não é uma etapa oficial da gestão de riscos conforme a norma NBR ISO/IEC 17799:2005 é B - políticas de riscos. Políticas de riscos podem existir dentro de uma organização, mas não são consideradas uma etapa específica do processo de gestão de riscos segundo essa norma.

Espero que essa explicação tenha esclarecido suas dúvidas! Caso tenha mais perguntas sobre o tema, sinta-se à vontade para perguntar.

Na página 2 da norma ISO/IEC 17799:2005 (atualmente 27002:2005) encontra-se a definição de gestão de riscos:

2.13 - Gestão de Riscos: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. NOTA: A gestão geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]

Assim sendo, alternativa B

Só um complemento segundo outra norma da ABNT ISO. 

Segundo a ISO 27005, "

6 Visão geral do processo de gestão de riscos de segurança da informação

O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."