Sobre tratamento de riscos de segurança da informação consta...

Vamos analisar a questão sobre o tratamento de riscos de segurança da informação conforme a ABNT NBR ISO/IEC 27001:2013. A alternativa B é a correta, pois é a afirmação incorreta.

A norma ISO/IEC 27001:2013 trata da gestão de segurança da informação e inclui diretrizes para o tratamento de riscos. Vamos entender cada alternativa para esclarecer por que a B é a incorreta e as demais estão corretas.

Alternativa A: A declaração de aplicabilidade deve conter os controles necessários e a justificativa para inclusões.

Isso está correto. A Declaração de Aplicabilidade (DoA) é um documento fundamental na ISO 27001. Ele lista todos os controles escolhidos para mitigar riscos e as justificativas para a inclusão desses controles.

Alternativa B: Todos os riscos devem ser completamente eliminados após a implementação de controles adequados.

Esta é a afirmativa incorreta. Em gestão de riscos de segurança da informação, é impossível eliminar completamente todos os riscos. O objetivo é reduzi-los a níveis aceitáveis por meio de controles adequados, não eliminá-los totalmente.

Alternativa C: As organizações devem definir e aplicar um processo de tratamento dos riscos de segurança da informação.

Correto. A ISO 27001 exige que as organizações estabeleçam um processo sistemático para o tratamento de riscos. Isso inclui identificar, avaliar e implementar controles apropriados para mitigar os riscos.

Alternativa D: As organizações podem projetar os controles conforme requerido ou identificá-los de qualquer outra fonte.

Correto. A norma permite que as organizações desenvolvam seus próprios controles de segurança ou adotem controles recomendados por outras fontes confiáveis, desde que sejam eficazes para tratar os riscos identificados.

Gostou do comentário? Deixe sua avaliação aqui embaixo!