A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de i...
15999 e 27005.
Errado.
A norma 27005 traz normas para o gerenciamento de riscos, não de
incidentes.
O gerenciamento de incidentes é tratado na Gestão de Continuidade do Negócio - ISO 15999.
A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes riscos pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.
ERRADO.
Pois segundo a ISO 27005,
"
6 Visão geral do processo de gestão de riscos de segurança da informação
O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7),
análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação
do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."
pegadinha do malandro!! "incidentes"galera alem do erro "gestao de incidentes" que deveria ser "gestao de riscos" , a questao tambem utiliza a palavra "prescreve" . cuidado sempre na malandragem.
4. ORGANIZACAO DA NORMA
Esta norma internacional contem a descricao do processo de gestao de riscos de seguranca da informacao e das suas atividades.
- portanto a norma descreve e nao prescreve.
CONFORME A ISO 27005 VERSÃO DE 2011, "O processo de gestão de riscos de segurança da informação consiste na definição do contexto, processo de avaliação de riscos, tratamento do risco, aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos."
Gabarito: E - errado
A questão aborda a Norma NBR ISO/IEC 27005, que é fundamental para o gerenciamento de riscos de segurança da informação. Para entender por que a resposta correta é "errado", vamos explorar os conceitos e a estrutura correta da norma.
A ISO/IEC 27005 fornece diretrizes para o processo de gerenciamento de riscos de segurança da informação. Esse processo é composto por várias etapas estruturadas, sendo essencial para identificar, avaliar e tratar riscos que possam comprometer a segurança da informação na organização.
De acordo com a ISO/IEC 27005, o ciclo de gerenciamento de riscos pode ser descrito nas seguintes fases:
- Estabelecimento do contexto: Definir o escopo, os critérios de risco e a estrutura de análise.
- Identificação de riscos: Identificar os riscos que podem afetar a segurança da informação.
- Análise de riscos: Entender a natureza dos riscos e suas consequências.
- Avaliação de riscos: Comparar os níveis de risco contra critérios de aceitação de risco para determinar a importância do risco.
- Tratamento de riscos: Selecionar e implementar medidas de controle para modificar os riscos.
- Aceitação de riscos: Aprovar formalmente os riscos residuais e seus planos de tratamento.
- Comunicação e consulta: Envolver as partes interessadas e garantir que as informações relevantes sejam comunicadas.
- Monitoramento e análise crítica: Acompanhar e revisar os riscos e a efetividade dos controles estabelecidos.
A questão menciona erroneamente o gerenciamento de incidentes ao invés do gerenciamento de riscos. É importante notar que a gestão de incidentes é abordada em outra norma, a ISO/IEC 27035, que trata especificamente da gestão de incidentes de segurança da informação.
Portanto, a alternativa está errada porque a descrição do processo apresentado na questão se refere à gestão de riscos e não à gestão de incidentes.
Dicas para concursos: Ao estudar normas e padrões, é crucial compreender as diferenças e objetivos específicos de cada um. A ISO/IEC 27005 foca no gerenciamento de riscos, enquanto a ISO/IEC 27035 trata de incidentes. Saber identificar essas nuances pode fazer a diferença na hora da prova.