Questões de Legislação dos Órgãos Federais, Estaduais, Distritais e Municipais e dos Órgãos Internacionais da FGV

Sobre gestão e análise de Riscos de TI, com base na norma ABNT NBR ISO/IEC 27005:2011, analise as afirmativas a seguir.

I. Requisitos regulatórios são irrelevantes ao avaliar os riscos de segurança da informação na organização.

II. As expectativas e percepções das partes interessadas devem ser consideradas ao estabelecerem os critérios para avaliação de riscos.

III. A análise de riscos deve ser empreendida independentemente da criticidade dos ativos.

Está correto o que se afirma em:

O Processo de Gestão de Riscos de Segurança da Informação é formado por diversas etapas. De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica as atividades da etapa Processo de Avaliação de Riscos.

No contexto da norma internacional ISO/IEC 27005, o processo de gestão de risco é definido por oito atividades coordenadas, das quais sete estão listadas a seguir.

Identificação de riscos

Estimativa de riscos

Avaliação de riscos Tratamento do risco

Aceitação do risco Comunicação do risco

Monitoramento e análise crítica de riscos

Assinale a opção que indica a atividade que completa a lista acima.

Considerando a norma ABNT NBR ISSO/IEC 27005:2011, relacione as quatro fases do Sistema de Gestão da Segurança da Informação (SGSI) às atividades de Gestão de Riscos de Segurança da Informação, relevantes para cada fase do SGSI.

1. Planejar

2. Executar

3. Verificar

4. Agir

( ) Processo de avaliação de riscos

( ) Monitoramento contínuo e análise crítica de riscos

( ) Implementação do plano de tratamento do risco

( ) Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação

Assinale a opção que apresenta a relação correta, segundo a ordem apresentada.

Estabelecida pela norma ABNT NBR ISO/IEC 27005:2011, a abordagem sistemática de gestão de riscos considera como parte da fase "Planejar" do ciclo PDCA de um sistema de gestão de segurança da informação, o processo denominado