A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de i...

Gabarito: E - errado

A questão aborda a Norma NBR ISO/IEC 27005, que é fundamental para o gerenciamento de riscos de segurança da informação. Para entender por que a resposta correta é "errado", vamos explorar os conceitos e a estrutura correta da norma.

A ISO/IEC 27005 fornece diretrizes para o processo de gerenciamento de riscos de segurança da informação. Esse processo é composto por várias etapas estruturadas, sendo essencial para identificar, avaliar e tratar riscos que possam comprometer a segurança da informação na organização.

De acordo com a ISO/IEC 27005, o ciclo de gerenciamento de riscos pode ser descrito nas seguintes fases:

• Estabelecimento do contexto: Definir o escopo, os critérios de risco e a estrutura de análise.
• Identificação de riscos: Identificar os riscos que podem afetar a segurança da informação.
• Análise de riscos: Entender a natureza dos riscos e suas consequências.
• Avaliação de riscos: Comparar os níveis de risco contra critérios de aceitação de risco para determinar a importância do risco.
• Tratamento de riscos: Selecionar e implementar medidas de controle para modificar os riscos.
• Aceitação de riscos: Aprovar formalmente os riscos residuais e seus planos de tratamento.
• Comunicação e consulta: Envolver as partes interessadas e garantir que as informações relevantes sejam comunicadas.
• Monitoramento e análise crítica: Acompanhar e revisar os riscos e a efetividade dos controles estabelecidos.

A questão menciona erroneamente o gerenciamento de incidentes ao invés do gerenciamento de riscos. É importante notar que a gestão de incidentes é abordada em outra norma, a ISO/IEC 27035, que trata especificamente da gestão de incidentes de segurança da informação.

Portanto, a alternativa está errada porque a descrição do processo apresentado na questão se refere à gestão de riscos e não à gestão de incidentes.

Dicas para concursos: Ao estudar normas e padrões, é crucial compreender as diferenças e objetivos específicos de cada um. A ISO/IEC 27005 foca no gerenciamento de riscos, enquanto a ISO/IEC 27035 trata de incidentes. Saber identificar essas nuances pode fazer a diferença na hora da prova.

Errado.
A norma 27005 traz normas para o gerenciamento de riscos, não de
incidentes.
 

O gerenciamento de incidentes é tratado na Gestão de Continuidade do Negócio - ISO 15999.

A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de   incidentes  riscos pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.

ERRADO.

Pois segundo a ISO 27005,

"

6 Visão geral do processo de gestão de riscos de segurança da informação

O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7),

análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação

do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."