Acerca da análise e avaliação de riscos e da seleção de cont...

Alternativa correta: C - certo

A questão aborda um aspecto fundamental da gestão de segurança da informação, conforme estabelecido pela norma ISO/IEC 27002, que é a análise e avaliação periódica de riscos. Essa prática é crucial porque o ambiente de TI e os riscos associados estão em constante mudança devido a fatores como novas ameaças de segurança, mudanças tecnológicas, atualizações de software e alterações nos processos de negócio.

A norma ISO/IEC 27002 recomenda que as organizações realizem avaliações de risco de forma periódica para garantir que todos os riscos sejam identificados, analisados e tratados de maneira adequada. Isso ajuda a manter o sistema de gestão de segurança da informação atualizado e eficaz. Além disso, essas avaliações periódicas permitem que a organização se adapte e responda de forma proativa às mudanças internas e externas que possam influenciar a segurança da informação.

Portanto, a afirmação de que a análise e avaliação de riscos devem ser repetidas periodicamente está correta, pois é uma prática recomendada pela ISO/IEC 27002 para manter a eficácia dos controles de segurança da informação ao longo do tempo, o que justifica a alternativa C como a correta.

C

Conforme a norma ISO/IEC 27002, a análise e avaliação de riscos devem ser repetidas periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desse procedimento. Isso ocorre porque o ambiente de segurança da informação está em constante evolução, com novas ameaças e vulnerabilidades surgindo mudanças nos ativos de informação e no contexto operacional da organização. É fundamental revisitar regularmente a análise de riscos para garantir que os controles de segurança sejam apropriados e eficazes ao longo do tempo.