João recebeu a tarefa de adequar a gestão de riscos de segur...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Olá, aluno!
A alternativa correta para a questão é a Alternativa C: assegurar que os riscos residuais sejam aceitos pelos gestores.
Vamos entender por que a alternativa C está correta e as outras estão incorretas.
Alternativa C: A norma ABNT NBR ISO/IEC 27005:2019 descreve claramente que, após a implementação das medidas de tratamento de risco, os riscos residuais devem ser avaliados e aceitos pelos gestores competentes. Isso é fundamental para garantir que os gestores estejam cientes dos riscos que ainda existem após a aplicação dos controles e que concordem com a sua aceitação.
Agora, vejamos por que as outras alternativas estão incorretas:
Alternativa A: Remover ou substituir os controles considerados insuficientes não é uma etapa direta mencionada na norma. A norma orienta para a análise e tratamento dos riscos, mas a remoção ou substituição de controles é uma ação que pode decorrer do processo de análise de riscos e não uma etapa inicial ou obrigatória.
Alternativa B: Determinar o valor dos ativos de informação durante a definição do contexto não é um requisito específico da norma. A norma 27005:2019 foca na avaliação dos riscos e pode envolver a identificação dos ativos, mas determinar o seu valor financeiro não é uma exigência explícita nesta etapa.
Alternativa D: Determinar os riscos residuais antes de definir o plano de tratamento do risco está incorreta porque a determinação dos riscos residuais só ocorre após a implementação das medidas de tratamento. Primeiro, um plano de tratamento de risco é definido e, posteriormente, os riscos residuais são avaliados.
Alternativa E: Iniciar o processo de gestão de riscos com a identificação dos riscos está incorreta porque o início do processo de gestão de riscos envolve a definição do contexto, que inclui a compreensão do ambiente da organização, os objetivos e a definição do escopo. A identificação dos riscos vem após essa etapa.
Espero ter ajudado na compreensão deste tema crucial para a Segurança da Informação e na preparação para os concursos públicos. Qualquer dúvida, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A norma 27005 define o processo de gestão de risco como atividades coordenadas para dirigir e controlar o risco de uma organização.
O processo de gestão de risco tem 8 atividades: Definição do contexto > Identificação de riscos > Estimativa de riscos > Avaliação de Riscos > Tratamento do risco > Aceitação do risco > Comunicação do risco > monitoramento e análise crítica do risco.
Na atividade de tratamento do risco que envolve implementar controles (para reduzir, reter, evitar ou transferir) o risco, se o tratamento não for satisfatório, ou seja, não resultar em um nível de risco residual que seja aceitável, deve-se iniciar novamente a atividade ou o processo até que os riscos residuais sejam explicitamente aceitos pelos gestores da organizção.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo