De acordo com a NBR ISO/IEC 27002: A) A análise/avaliação de riscos não deve ser feita periodicamente para não impactar nos custos dos projetos de software ou hardware. B) A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para ignorar o risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização. Convém que esteja sujeito apenas às legislações e regulamentações nacionais relevantes. C) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos e a comunicação de riscos. Não inclui aceitação de riscos. D) Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). E) O escopo de uma análise/avaliação de riscos deve ser sempre em toda a organização, pois todas as áreas estão sujeitas aos riscos.

D) Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).

Questões Segurança da Informação

De acordo com a NBR ISO/IEC 27002:

Responda: De acordo com a NBR ISO/IEC 27002:

1Q231082 | Segurança da Informação, Programador de Computador, TRE CE, FCC

De acordo com a NBR ISO/IEC 27002:

✂️ a) A análise/avaliação de riscos não deve ser feita periodicamente para não impactar nos custos dos projetos de software ou hardware.
✂️ b) A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para ignorar o risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização. Convém que esteja sujeito apenas às legislações e regulamentações nacionais relevantes.
✂️ c) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos e a comunicação de riscos. Não inclui aceitação de riscos.
✂️ d) Convém que a análise/avaliação de riscos inclua um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco).
✂️ e) O escopo de uma análise/avaliação de riscos deve ser sempre em toda a organização, pois todas as áreas estão sujeitas aos riscos.

💬 Comentários

Confira os comentários sobre esta questão.

Por Letícia Cunha em 31/12/1969 21:00:00

Gabarito: d)
A NBR ISO/IEC 27002 trata das melhores práticas para a gestão da segurança da informação, incluindo a gestão de riscos.
A alternativa d está correta porque descreve com precisão o processo de análise e avaliação de riscos, que envolve estimar a magnitude do risco e comparar esses riscos com critérios predefinidos para determinar sua significância.
A alternativa a está incorreta porque a análise/avaliação de riscos deve ser feita periodicamente para garantir a segurança contínua, mesmo que isso envolva custos.
A alternativa b está errada ao afirmar que a seleção de controles deve estar sujeita apenas às legislações nacionais, pois a organização pode estar sujeita a legislações internacionais e outros requisitos.
A alternativa c está incorreta porque a gestão de riscos inclui também a aceitação de riscos, que é uma etapa importante do processo.
A alternativa e está errada porque o escopo da análise/avaliação de riscos pode variar conforme a necessidade, não sendo obrigatório que seja sempre em toda a organização.
Portanto, a alternativa d é a que melhor representa o conteúdo da NBR ISO/IEC 27002 sobre análise e avaliação de riscos.

⚠️ Clique para ver os comentários

Visualize os comentários desta questão clicando no botão abaixo

Ver comentários