Identificar e avaliar opções de tratamento de riscos, de aco...

A alternativa correta é: B - estabelecer

A questão aborda a fase do Sistema de Gestão de Segurança da Informação (SGSI) em que se identificam e avaliam opções de tratamento de riscos, conforme a norma ABNT NBR ISO/IEC 27001. Essa norma é fundamental para a segurança da informação, pois fornece requisitos para estabelecer, implementar, manter e melhorar continuamente o SGSI.

Vamos agora analisar detalhadamente a questão e as alternativas apresentadas:

Alternativa B - Estabelecer: Esta é a alternativa correta. Na fase de "estabelecer" do SGSI, identifica-se e avalia-se como tratar os riscos. Esta fase é crucial para definir a abordagem que será tomada para cada risco identificado, o que inclui aceitar, transferir, reduzir ou evitar o risco. Sem essa fase, não há como planejar adequadamente as medidas de segurança.

Alternativa A - Melhorar: Uma vez que os riscos foram identificados e as medidas de controle foram implementadas, a fase de "melhorar" envolve a análise contínua e o aprimoramento dos procedimentos e controles existentes. Esta fase não se concentra na identificação ou avaliação inicial dos riscos, mas sim na melhoria contínua do sistema.

Alternativa C - Implementar: Após a fase de "estabelecer", vem a fase de "implementar", onde as medidas e controles planejados são colocados em prática. Esta fase é sobre tornar operacionais as decisões tomadas na fase de "estabelecer", e não sobre a identificação ou avaliação dos riscos.

Alternativa D - Operar: Na fase de "operar", o SGSI está em pleno funcionamento. Os controles e processos estabelecidos e implementados são utilizados no dia a dia da organização. Esta fase é mais sobre a execução e operação contínua do SGSI, e não cobre a identificação ou avaliação inicial dos riscos.

Alternativa E - Monitorar: A fase de "monitorar" envolve acompanhar continuamente o SGSI para garantir que ele seja eficaz e que os controles estejam funcionando conforme o esperado. A identificação e avaliação dos riscos já aconteceu anteriormente, e agora o foco é garantir que as ações estão surtindo o efeito desejado.

Em resumo, a fase em que ocorre a identificação e avaliação das opções de tratamento de riscos é fundamental para preparar a organização para qualquer possível ameaça, e esta fase é corretamente representada pela alternativa B - Estabelecer.

Espero ter ajudado a esclarecer o tema. Se precisar de mais alguma informação ou tiver dúvidas adicionais, estou à disposição!

LETRA B.

Segundo 27001,'"

4.2.1 Estabelecer o SGSI

A organização deve:

f) Identificar e avaliar as opções para o tratamento de riscos.

Possíveis ações incluem:

1) aplicar os controles apropriados;

2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));

3) evitar riscos; e

4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores."