Identificar e avaliar opções de tratamento de riscos, de aco...

Próximas questões
Com base no mesmo assunto
Q386550 Segurança da Informação
Identificar e avaliar opções de tratamento de riscos, de acordo com a norma ABNT NBR ISO/IEC 27.001, são ações de determinada fase do sistema de gestão de segurança da informação (SGSI), além das ações de aceitar de forma consciente os riscos, aplicar controles adequados, evitar e transferir riscos. Com base nessas informações, assinale a opção em que a ação apresentada corresponde à fase em que ocorre a identificação e a avaliação das opções de tratamento de riscos no SGSI.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é: B - estabelecer

A questão aborda a fase do Sistema de Gestão de Segurança da Informação (SGSI) em que se identificam e avaliam opções de tratamento de riscos, conforme a norma ABNT NBR ISO/IEC 27001. Essa norma é fundamental para a segurança da informação, pois fornece requisitos para estabelecer, implementar, manter e melhorar continuamente o SGSI.

Vamos agora analisar detalhadamente a questão e as alternativas apresentadas:

Alternativa B - Estabelecer: Esta é a alternativa correta. Na fase de "estabelecer" do SGSI, identifica-se e avalia-se como tratar os riscos. Esta fase é crucial para definir a abordagem que será tomada para cada risco identificado, o que inclui aceitar, transferir, reduzir ou evitar o risco. Sem essa fase, não há como planejar adequadamente as medidas de segurança.

Alternativa A - Melhorar: Uma vez que os riscos foram identificados e as medidas de controle foram implementadas, a fase de "melhorar" envolve a análise contínua e o aprimoramento dos procedimentos e controles existentes. Esta fase não se concentra na identificação ou avaliação inicial dos riscos, mas sim na melhoria contínua do sistema.

Alternativa C - Implementar: Após a fase de "estabelecer", vem a fase de "implementar", onde as medidas e controles planejados são colocados em prática. Esta fase é sobre tornar operacionais as decisões tomadas na fase de "estabelecer", e não sobre a identificação ou avaliação dos riscos.

Alternativa D - Operar: Na fase de "operar", o SGSI está em pleno funcionamento. Os controles e processos estabelecidos e implementados são utilizados no dia a dia da organização. Esta fase é mais sobre a execução e operação contínua do SGSI, e não cobre a identificação ou avaliação inicial dos riscos.

Alternativa E - Monitorar: A fase de "monitorar" envolve acompanhar continuamente o SGSI para garantir que ele seja eficaz e que os controles estejam funcionando conforme o esperado. A identificação e avaliação dos riscos já aconteceu anteriormente, e agora o foco é garantir que as ações estão surtindo o efeito desejado.

Em resumo, a fase em que ocorre a identificação e avaliação das opções de tratamento de riscos é fundamental para preparar a organização para qualquer possível ameaça, e esta fase é corretamente representada pela alternativa B - Estabelecer.

Espero ter ajudado a esclarecer o tema. Se precisar de mais alguma informação ou tiver dúvidas adicionais, estou à disposição!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

LETRA B.

Segundo 27001,'"

4.2.1 Estabelecer o SGSI

A organização deve:

f) Identificar e avaliar as opções para o tratamento de riscos.

Possíveis ações incluem:

1) aplicar os controles apropriados;

2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos (ver 4.2.1c)2));

3) evitar riscos; e

4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores."

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo