Questão nº 6
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 6)
FGV2024Analista CVM - TI Infraestrutura e Segurança (Perfil 9)Tecnologia da Informação
Gabarito: Aver comentário ↓
A implementação de um sistema de gestão de segurança da informação (SGSI) baseado na ISO/IEC 27001 envolve diversos processos.
Durante o processo de avaliação de riscos da segurança, deve-se:
- Apriorizar os riscos analisados para o seu tratamento; (alternativa correta)
- Bdeterminar os controles para implementar as ações para o tratamento dos riscos;
- Cobter a aprovação dos proprietários dos riscos para definir a aceitação dos riscos residuais;
- Dconsiderar as interfaces e dependências entre as atividades do órgão;
- Eselecionar as opções de tratamento dos riscos.
Resposta comentada
Gabarito Alternativa A
A avaliação de riscos na ISO/IEC 27001 é o processo de identificar, analisar e avaliar os riscos que podem afetar a segurança da informação de uma organização, para entender o que pode dar errado e qual o impacto.
- (A) Correta: Após identificar e analisar os riscos, a priorização é uma etapa crucial da avaliação de riscos (especificamente da avaliação de riscos, que é a última parte da avaliação de riscos) para decidir quais riscos são mais importantes e exigem tratamento imediato, orientando as ações futuras.
- (B) Incorreta: Determinar controles é parte da fase de tratamento de riscos, que vem depois da avaliação de riscos, onde se decide como lidar com os riscos identificados.
- (C) Incorreta: A obtenção de aprovação para riscos residuais ocorre após o tratamento dos riscos, quando se verifica o que restou e se é aceitável, não durante a avaliação inicial.
- (D) Incorreta: Considerar interfaces e dependências é uma atividade importante durante a identificação e análise de riscos (parte da avaliação), mas não é o "deve-se" principal que engloba todo o processo de avaliação, que culmina na priorização.
- (E) Incorreta: Selecionar opções de tratamento é uma atividade da fase de tratamento de riscos, que sucede a avaliação de riscos.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.