Julgue o item subsequente, com base na norma NBR ISO/IEC 270...
Julgue o item subsequente, com base na norma NBR ISO/IEC 27001:2009.
A referida norma prevê que as organizações estabeleçam e
mantenham critérios de riscos de segurança da informação que
incluam os critérios de aceitação do risco.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa Correta: C - Certo
A questão aborda a Norma NBR ISO/IEC 27001:2009, que é um padrão internacional de segurança da informação. Essa norma fornece requisitos para um sistema de gestão de segurança da informação (SGSI) e é essencial para a proteção das informações nas organizações.
Critérios de Riscos de Segurança da Informação: A norma estabelece que as organizações devem definir e manter critérios específicos para avaliar os riscos relacionados à segurança da informação. Isso inclui a identificação de ameaças, vulnerabilidades e os impactos potenciais no caso de ocorrência de incidentes de segurança.
Critérios de Aceitação do Risco: Dentro desses critérios de risco, a norma também exige que sejam definidos os critérios de aceitação do risco. Isso significa que a organização deve estabelecer quais riscos são aceitáveis e quais necessitam de medidas adicionais de controle. A aceitação do risco é uma parte crucial do processo de gerenciamento de riscos, pois ajuda a determinar os níveis de risco que a organização está disposta a tolerar.
Portanto, a alternativa C está correta porque reflete exatamente essa exigência da norma NBR ISO/IEC 27001:2009.
Vamos analisar mais detalhadamente:
Justificativa da Alternativa Correta:
A norma ISO/IEC 27001:2009, de fato, prevê que as organizações estabeleçam e mantenham critérios de riscos de segurança da informação que incluem os critérios de aceitação do risco. Esse procedimento é fundamental para garantir que a organização tenha um método claro e sistemático para avaliar e tratar os riscos de segurança da informação.
Justificativa das Alternativas Incorretas:
Nesta questão específica, não há alternativas incorretas listadas, apenas a necessidade de julgar se a afirmação está certa ou errada. Caso a afirmação estivesse incorreta, seria porque a norma não exigiria esses critérios, o que não é o caso. Assim, qualquer juízo em contrário estaria errado por não reconhecer a integralidade das exigências da norma quanto ao gerenciamento dos riscos de segurança da informação.
Espero que esta explicação tenha esclarecido suas dúvidas. Se precisar de mais detalhes ou tiver outras questões, estou à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Avaliação de riscos de segurança da informação
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que:
a) estabeleça e mantenha critérios de riscos de segurança da informação que incluam:
1) os critérios de aceitação do risco; e
2) os critérios para o desempenho das avaliações dos riscos de segurança da informação;
Certo
Fonte: ABNT NBR ISO/IEC 27001 - 2013 página: 6
#Q43766
Ano: 2008 Banca: CESPE Órgão: SERPRO Prova: CESPE - 2008 - SERPRO - Analista - Redes
A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC 27001.
CERTO.
Sem risco, sem crescimento.
Sem crescimento (escala), a empresa fecha.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos