Identificar e avaliar opções de tratamento de riscos, de aco...
LETRA B.
Segundo 27001,'"
4.2.1 Estabelecer o SGSI
A organização deve:
f) Identificar e avaliar as opções para o tratamento de riscos.
Possíveis ações incluem:
1) aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));
3) evitar riscos; e
4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores."
A alternativa correta é: B - estabelecer
A questão aborda a fase do Sistema de Gestão de Segurança da Informação (SGSI) em que se identificam e avaliam opções de tratamento de riscos, conforme a norma ABNT NBR ISO/IEC 27001. Essa norma é fundamental para a segurança da informação, pois fornece requisitos para estabelecer, implementar, manter e melhorar continuamente o SGSI.
Vamos agora analisar detalhadamente a questão e as alternativas apresentadas:
Alternativa B - Estabelecer: Esta é a alternativa correta. Na fase de "estabelecer" do SGSI, identifica-se e avalia-se como tratar os riscos. Esta fase é crucial para definir a abordagem que será tomada para cada risco identificado, o que inclui aceitar, transferir, reduzir ou evitar o risco. Sem essa fase, não há como planejar adequadamente as medidas de segurança.
Alternativa A - Melhorar: Uma vez que os riscos foram identificados e as medidas de controle foram implementadas, a fase de "melhorar" envolve a análise contínua e o aprimoramento dos procedimentos e controles existentes. Esta fase não se concentra na identificação ou avaliação inicial dos riscos, mas sim na melhoria contínua do sistema.
Alternativa C - Implementar: Após a fase de "estabelecer", vem a fase de "implementar", onde as medidas e controles planejados são colocados em prática. Esta fase é sobre tornar operacionais as decisões tomadas na fase de "estabelecer", e não sobre a identificação ou avaliação dos riscos.
Alternativa D - Operar: Na fase de "operar", o SGSI está em pleno funcionamento. Os controles e processos estabelecidos e implementados são utilizados no dia a dia da organização. Esta fase é mais sobre a execução e operação contínua do SGSI, e não cobre a identificação ou avaliação inicial dos riscos.
Alternativa E - Monitorar: A fase de "monitorar" envolve acompanhar continuamente o SGSI para garantir que ele seja eficaz e que os controles estejam funcionando conforme o esperado. A identificação e avaliação dos riscos já aconteceu anteriormente, e agora o foco é garantir que as ações estão surtindo o efeito desejado.
Em resumo, a fase em que ocorre a identificação e avaliação das opções de tratamento de riscos é fundamental para preparar a organização para qualquer possível ameaça, e esta fase é corretamente representada pela alternativa B - Estabelecer.
Espero ter ajudado a esclarecer o tema. Se precisar de mais alguma informação ou tiver dúvidas adicionais, estou à disposição!
Conheça nossos planos