De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que: A) o processo de identificação de ativos deve limitar-se ao escopo estabelecido para a gestão de riscos. B) considerando a natureza estática dos riscos, a revisão dos mesmos somente será necessária no caso de inclusão de novos ativos no escopo da gestão de riscos. C) a presença de vulnerabilidades, por si só, requer a previsão de controles para a mitigação dos riscos. D) as informações sobre riscos devem ser protegidas e restritas ao tomador de decisão e à equipe técnica de análise de riscos. E) a metodologia de análise de riscos deve ser quantitativa, de modo a serem utilizados valores numéricos para os riscos.

A) o processo de identificação de ativos deve limitar-se ao escopo estabelecido para a gestão de riscos.

Questões Informática Segurança da Informação

De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que:

Responda: De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que:

1Q52726 | Informática, Segurança da Informação, Segurança da Tecnologia da Informação, Banrisul, FAURGS, 2018

✂️ a) o processo de identificação de ativos deve limitar-se ao escopo estabelecido para a gestão de riscos.
✂️ b) considerando a natureza estática dos riscos, a revisão dos mesmos somente será necessária no caso de inclusão de novos ativos no escopo da gestão de riscos.
✂️ c) a presença de vulnerabilidades, por si só, requer a previsão de controles para a mitigação dos riscos.
✂️ d) as informações sobre riscos devem ser protegidas e restritas ao tomador de decisão e à equipe técnica de análise de riscos.
✂️ e) a metodologia de análise de riscos deve ser quantitativa, de modo a serem utilizados valores numéricos para os riscos.

💬 Comentários

Confira os comentários sobre esta questão.

Por Ingrid Nunes em 31/12/1969 21:00:00

Gabarito: a) A norma ISO ABNT NBR ISO/IEC 27005:2011 trata da gestão de riscos em segurança da informação, e um dos princípios fundamentais é que o processo de identificação de ativos deve estar alinhado ao escopo definido para a gestão de riscos. Isso significa que não se deve identificar ativos fora do escopo estabelecido, garantindo foco e eficiência no processo.

A alternativa b) está incorreta porque os riscos não são estáticos; eles podem mudar com o tempo devido a diversos fatores, como mudanças tecnológicas, organizacionais ou ambientais. Portanto, a revisão dos riscos deve ser periódica e não apenas quando novos ativos forem incluídos.

A alternativa c) é incorreta porque a presença de vulnerabilidades não implica automaticamente na necessidade de controles; é necessário avaliar o risco considerando a probabilidade e o impacto para decidir sobre a mitigação.

A alternativa d) está errada porque as informações sobre riscos devem ser compartilhadas de forma adequada com todas as partes interessadas relevantes, não apenas com o tomador de decisão e a equipe técnica, para garantir transparência e eficácia na gestão.

Por fim, a alternativa e) está incorreta porque a norma permite tanto metodologias quantitativas quanto qualitativas para análise de riscos, dependendo do contexto e da disponibilidade de dados.

Portanto, a alternativa correta é a letra a).

⚠️ Clique para ver os comentários

Visualize os comentários desta questão clicando no botão abaixo

Ver comentários