Os controles necessários para se fazer uma adequada análise ...

Gabarito: E - Errado

A afirmação de que os controles necessários para uma adequada análise e avaliação de riscos devem ser retirados apenas da norma ISO/IEC 27002:2005 é incorreta. A norma ISO/IEC 27002 é um código de melhores práticas para a gestão de segurança da informação, que oferece diretrizes para implementar, manter e melhorar continuamente a segurança da informação dentro de uma organização. Entretanto, ela não é o único referencial para a análise e avaliação de riscos. Para isso, normalmente referenciamos a ISO/IEC 27005, que é uma norma específica para gestão de riscos de segurança da informação.

É importante compreender que a gestão de riscos é um processo complexo que pode requerer ferramentas, técnicas e metodologias que vão além do escopo da ISO/IEC 27002. A avaliação de riscos envolve a identificação de ameaças e vulnerabilidades, bem como a análise do impacto potencial e a probabilidade de eventos de segurança da informação.

Além disso, a tecnologia e as ameaças evoluem constantemente, o que significa que uma única norma não pode garantir todas as ações de segurança necessárias para qualquer ambiente computacional. Portanto, é essencial que a análise e avaliação de riscos sejam feitas utilizando um conjunto apropriado de controles, que pode incluir diretrizes de outras normas, boas práticas da indústria, e conhecimento específico do ambiente em questão.

A norma ISO/IEC 27002 é uma ferramenta valiosa, mas não completa ou exclusiva para a análise de riscos. A utilização de um framework mais amplo, que considere uma variedade de fontes e esteja alinhado com as necessidades específicas da organização, é fundamental para uma eficaz gestão de segurança da informação.

Na própria norma podemos ver o seguinte texto:

 

IMPORTANTE – Esta publicação não tem o propósito de incluir todas as cláusulas necessárias a um
contrato. Os usuários são responsáveis pela sua correta aplicação. Conformidade com esta Norma por si
só não confere imunidade em relação às obrigações legais.

"... Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender às necessidades específicas, conforme apropriado. A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes."

ISO 27002

27005 - information security risk management

http://www.27000.org/iso-27005.htm

Segundo a ISO 27002:2013,"0.3 Seleção de controle
Controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender necessidades especificas, conforme apropriado."

Gabarito Errado

Não podemos esquecer da 27005.

 

Vamos na fé !

 

 

 

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !