Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27...

A alternativa correta é Errado (E).

Vamos entender o porquê:

A questão trata do modelo PDCA (Plan, Do, Check, Act) aplicado ao Sistema de Gestão de Segurança da Informação (SGSI), conforme as normas ABNT NBR ISO/IEC 27001:2006 e 27002:2005.

O ciclo PDCA é um método sistemático de gestão para o controle e melhoria contínua de processos e produtos. Quando aplicado ao SGSI, ele envolve quatro etapas:

• Plan (Planejar): Estabelecer os objetivos de segurança da informação e os processos necessários para entregar os resultados de acordo com as políticas e objetivos da organização.
• Do (Fazer): Implementar e operar os processos de segurança da informação.
• Check (Verificar): Monitorar e revisar os processos em relação à política de segurança da informação e objetivos, reportando os resultados à gestão para análise.
• Act (Agir): Manter e melhorar o SGSI, tomando medidas corretivas e preventivas com base nos resultados da auditoria interna e na revisão pela gestão.

Justificativa para a Alternativa Correta (E):

A questão afirma que a análise de riscos deve ser realizada somente quando houver mudanças nos requisitos de segurança ou quando forem identificadas novas ameaças. Isso está incorreto, porque a análise de riscos é uma atividade contínua e não deve ser restrita a essas situações específicas.

De acordo com as práticas recomendadas pela ISO 27001 e 27002, a análise de riscos deve ser realizada regularmente, como parte do processo contínuo de gestão de segurança da informação. Isso inclui revisões periódicas e atualizações conforme necessário para garantir que a organização esteja sempre ciente dos riscos atuais e emergentes.

Conclusão:

A resposta correta é Errado (E) porque a análise de riscos deve ser uma prática contínua e não restrita apenas às situações de mudança de requisitos de segurança ou identificação de novas ameaças.

Espero que essa explicação tenha sido útil para você entender melhor o tema e resolver a questão de forma correta. Se tiver mais dúvidas, estou à disposição para ajudar!

No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI, uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização. 

Torna errada a questão, o ciclo PDCA deve-se ser realizada sempre! independentemente de mudança ou não nos requisitos de segurança ou quando forem identificadas ameaças....

Fonte: ITIL V3

ERRADO.

Senhores, esta questão pegou um trecho da norma iso 27001 e um trecho da norma ISO 27002.

Vou dividir a questão para melhor compreensão.

1)No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI [...]     (CORRETO)

Segundo a ISO 27001,0.2 Abordagem de processo,"Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act" (PDCA), que é aplicado para estruturar todos os processos do SGSI."

2)[...]uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização. (ERRADO)

Segundo a ISO 27002,4.1 Analisando/avaliando os riscos de segurança da informação,"Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças,vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer."

**Portanto não abrange somente as ameaças como pode ser visto acima, visto que o rol é muito maior, abrangendo também,inclusive, os ativos, as vulnerabilidades,etc.

A analise de risco permeia todo o processo.

Mata-se a questão apenas sabendo que, segundo a ISO 27002, a análise de riscos deve ser uma atividade SISTEMÁTICA e repetida PERIODICAMENTE, independente de que tenha havido, ou não, a ciência de novas ameaças ou vulnerabilidades.