A norma ABNT NBR 27001:2013 especifica os requisitos para e...

Olá, aluno!

A alternativa correta para a questão é a B - incluam os critérios de aceitação do risco.

Vamos entender melhor por que essa é a alternativa correta e as razões pelas quais as outras alternativas estão incorretas.

A norma ABNT NBR ISO/IEC 27001:2013 trata do Sistema de Gestão de Segurança da Informação (SGSI) e especifica os requisitos necessários para estabelecer, implementar, manter e melhorar continuamente esse sistema.

Um dos pontos-chave dessa norma é o processo de avaliação de riscos. Esse processo é fundamental para identificar, analisar e avaliar os riscos que podem afetar a segurança da informação dentro de uma organização.

A norma exige que a organização defina critérios de aceitação do risco. Esses critérios são usados para determinar se um risco é aceitável ou não, ou seja, se a organização está disposta a assumir o risco com base em suas políticas, objetivos e apetite ao risco.

Vamos analisar cada alternativa:

Alternativa B - incluam os critérios de aceitação do risco.

Essa é a alternativa correta. A norma ISO/IEC 27001 realmente exige que a organização inclua critérios de aceitação do risco no seu processo de avaliação. Isso garante que a organização tenha clareza sobre quais riscos são aceitáveis e quais precisam de tratamento.

Alternativa A - assegure a materialização dos riscos de segurança.

Essa alternativa está incorreta. O objetivo da avaliação de riscos é identificar, analisar e tratar os riscos, não assegurar que eles se materializem. Na verdade, a intenção é justamente o oposto: reduzir a probabilidade e o impacto dos riscos.

Alternativa C - proíba a distinção do grau de criticidade para tratar o risco.

Essa alternativa também está incorreta. A avaliação de riscos deve, sim, distinguir o grau de criticidade dos riscos para que possam ser tratados de forma adequada. Ignorar essa distinção seria contraproducente, pois todos os riscos seriam tratados da mesma forma, independentemente de sua gravidade.

Alternativa D - desabone aqueles que identificam os responsáveis dos riscos.

Novamente, essa alternativa está incorreta. Identificar os responsáveis pelos riscos é uma prática essencial para a gestão eficaz dos mesmos. Desabonar aqueles que fazem essa identificação iria contra os princípios de uma boa gestão de segurança da informação.

Alternativa E - produza resultados padronizados e incomparáveis.

Esta alternativa não faz sentido dentro do contexto da norma. A avaliação de riscos deve produzir resultados que são específicos e comparáveis para possibilitar uma análise consistente e um tratamento adequado dos riscos. Resultados padronizados e incomparáveis não fornecem a clareza necessária para a tomada de decisões eficazes.

Espero que essa explicação tenha ajudado a esclarecer a razão pela qual a alternativa B é a correta e por que as outras alternativas não atendem aos requisitos da norma ISO/IEC 27001.

Se tiver mais dúvidas ou precisar de mais explicações, estarei à disposição para ajudar. Bons estudos!

B.

Para a ISO 27001, a aceitação de risco é parte do processo de tomada de decisão do tratamento de risco. A aceitação de risco declara a condição que você utiliza para decidir se você pode conviver com um risco em particular.

aceitação=retenção de risco

Aceitação do risco: Decisão informada de assumir um risco específico

Fonte: https://www.estrategiaconcursos.com.br/blog/resumo-da-iso-27001/

A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:

a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:

1) os critérios de aceitação do risco;