Com base na norma ISO/IEC 27001, julgue o item seguinte. O p...
Com base na norma ISO/IEC 27001, julgue o item seguinte.
O processo de avaliação de riscos deve ser aplicado para
identificar riscos da gestão de configuração e de problemas.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Olá, aluno! Vamos entender melhor essa questão relacionada à norma ISO/IEC 27001.
A alternativa correta é a letra "E" (errado).
A ISO/IEC 27001 é uma norma internacional que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Um dos processos centrais dessa norma é a avaliação de riscos, que tem como objetivo identificar, avaliar e tratar riscos que possam comprometer a segurança da informação.
A questão menciona que o processo de avaliação de riscos deve ser aplicado para "identificar riscos da gestão de configuração e de problemas". Vamos analisar isso com mais detalhes:
1. Avaliação de Riscos: O processo de avaliação de riscos na ISO/IEC 27001 é abrangente e deve considerar todos os aspectos que possam impactar a segurança da informação da organização. Isso inclui não só a gestão de configuração e de problemas, mas também outros processos, ativos e controles de segurança.
2. Gestão de Configuração e de Problemas: Esses são aspectos importantes dentro da gestão de TI, mas não são os únicos focos da avaliação de riscos na ISO/IEC 27001. A norma exige uma abordagem mais ampla, que engloba diversas áreas e processos da organização.
Por que a alternativa está errada?
Ao afirmar que a avaliação de riscos deve ser aplicada exclusivamente para identificar riscos da gestão de configuração e de problemas, a questão dá um enfoque muito limitado ao processo. A ISO/IEC 27001 não restringe a avaliação de riscos apenas a esses aspectos; na verdade, ela requer uma análise mais holística e abrangente. Portanto, a alternativa está incorreta.
Espero que esta explicação tenha sido útil para esclarecer por que a alternativa correta é a "E". Caso tenha mais dúvidas, estou aqui para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gabarito: E
A filosofia principal da ISO 27001 é descobrir quais incidentes podem ocorrer (ou seja, avaliar os riscos) e, em seguida, encontrar as formas mais adequadas para evitar tais incidentes (ou seja, tratar os riscos).
Não tem ligação direta com gestão de configuração e de problemas.
Palavras de ordem da ISO: confidencialidade, integridade e disponibilidade de informações. Questão mais para ITIL.
Gabarito errado.
Bjus pra tia Lea!
ERRADO. A norma ABNT NBR ISO/IEC 27001 prevê que devem ser identificados riscos associados à confidencialidade, integridade e disponibilidade da informação.
(Gabarito do Cespe)
JUSTIFICATIVA: ERRADO. A norma ABNT NBR ISO/IEC 27001 prevê que devem ser identificados riscos associados à confidencialidade, integridade e disponibilidade da informação.
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.2 Avaliação de riscos de segurança da informação
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
c) identifique os riscos de segurança da informação:
1) aplicando o processo de avaliação do risco de segurança da informação para identificar os riscos associados com a perda de confidencialidade, integridade e disponibilidade da informação dentro do escopo do sistema de gestão da segurança da informação.
ABNT NBR ISO/IEC 27001:2013
Pág. 4
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos