Questões Concurso APEX Brasil

Conforme a NBR ISO/IEC 27001:2013, no cumprimento dos requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI), a organização deve determinar os limites e a aplicabilidade do SGSI para estabelecer o seu escopo, devendo, assim, considerar 

De acordo com a ABNT NBR ISO/IEC 27005, assinale a opção que indica o processo de gestão de riscos de segurança da informação que prevê a identificação dos riscos, bem como sua priorização qualitativa, quando se usam como entradas, por exemplo, seu escopo e seus limites.

Assinale a opção que corresponde ao processo de identificação, classificação e tratamento das vulnerabilidades, em que o tratamento consiste ou na correção da vulnerabilidade e aplicação de controles para minimizar a probabilidade de exploração ou o impacto, ou na aceitação do risco.

Na avaliação de riscos, procura-se uma base que sirva para efeitos de comparação, como a análise e a avaliação de riscos efetuadas em épocas anteriores. O conhecimento prévio de impactos e probabilidades de riscos é sempre relevante para uma avaliação adequada e completa. Por outro lado, há basicamente dois modos de realizar a avaliação de riscos, os quais se baseiam

Para uma efetiva gestão de riscos, é preciso, inicialmente, fazer o levantamento das ameaças e seus impactos, da probabilidade de concretização das ameaças e dos riscos potenciais. Para a implementação da gestão de riscos, devem ser considerados três níveis, cujas respectivas finalidades são

I garantir a adequação técnica necessária ao tratamento adequado dos riscos;

II assegurar que as atividades que compreendem a gestão de riscos sejam consideradas de forma sistemática; e

III permitir que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os riscos e possam ajudar a reduzi-los e controlá-los.

No texto precedente, os itens I, II e III apresentam as funções, respectivamente, dos níveis