A norma ISO/IEC 27005:2008 adota o modelo “Plan-Do-Check-Ac...

A alternativa correta é: Implementation of risk treatment plan (C).

A questão aborda a aplicação do modelo “Plan-Do-Check-Act” (PDCA) no contexto do “Information Security Management System” (ISMS), conforme a norma ISO/IEC 27005:2008. Para solucioná-la, é necessário compreender como cada fase do ciclo PDCA se relaciona com os processos de gerenciamento de riscos.

Vamos explorar cada fase do modelo PDCA:

1. Plan: Nesta fase, são estabelecidos os objetivos de segurança, políticas, procedimentos e planos de gerenciamento de riscos. É onde se realiza a análise de riscos e se desenvolve o “Risk treatment plan” (plano de tratamento de riscos).

2. Do: Esta fase envolve a implementação das medidas planejadas. É aqui que se coloca em prática o “Risk treatment plan”. Portanto, a fase Do representa a Implementation of risk treatment plan (C).

3. Check: Nesta etapa, são monitorados e revisados os riscos continuamente para assegurar que as medidas estão sendo efetivas, identificando possíveis melhorias.

4. Act: Baseando-se nos resultados da fase Check, são realizadas melhorias contínuas no processo de gerenciamento de riscos e na segurança da informação.

Agora, vamos justificar a alternativa correta e as alternativas incorretas:

Alternativa A - Risk acceptance: Aceitação de risco é uma decisão que pode fazer parte do plano de tratamento de riscos, mas não representa a implementação do plano em si.

Alternativa B - Continual monitoring and reviewing of risks: Esta atividade faz parte da fase Check, onde se monitora e revisa constantemente os riscos e as medidas implementadas.

Alternativa C - Implementation of risk treatment plan: Esta é a alternativa correta porque, na fase Do, o plano de tratamento de riscos desenvolvido na fase Plan é colocado em prática.

Alternativa D - Maintain and improve the Information Security Risk Management Process: Esta atividade se encontra na fase Act, onde se busca manter e melhorar continuamente o processo de gerenciamento de riscos.

Alternativa E - Developing risk treatment plan: O desenvolvimento do plano de tratamento de riscos ocorre na fase Plan, não na fase Do.

Compreender a estrutura e a aplicabilidade do modelo PDCA é essencial para gestores de segurança da informação, garantindo que os processos do ISMS sejam eficazes e alinhados às normas internacionais.

Ciclo PDCA  x Atividades do processo de gerenciamento de riscos

Plan (Planejar):

-  Estabelecer o contexto;

-  Avaliação dos riscos;

-  Desenvolver plano de tratamento dos riscos;

-  Aceitação dos riscos. 

- Implementar o plano de tratamento dos riscos. 

- Monitoração e revisão contínua dos riscos. 

- Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação. 

Com a devida licença replicando resposta para melhor visualização.

Ciclo PDCA  x Atividades do processo de gerenciamento de riscos

Plan (Planejar):

-  Estabelecer o contexto;

-  Avaliação dos riscos;

-  Desenvolver plano de tratamento dos riscos;

-  Aceitação dos riscos. 

Do (Fazer):

- Implementar o plano de tratamento dos riscos. 

Check (Checar):

- Monitoração e revisão contínua dos riscos. 

Act (Agir):

- Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação

Gabarito C

Plan (Planejar):

-  Estabelecer o contexto;

-  Avaliação dos riscos;

-  Desenvolver plano de tratamento dos riscos;

-  Aceitação dos riscos. 

Do (Fazer):

- Implementar o plano de tratamento dos riscos. 

Check (Checar):

- Monitoração e revisão contínua dos riscos. 

Act (Agir):

- Manter e melhorar o processo de gerenciamento dos riscos de segurança da informação.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !