FGV2023Analista - Apoio Especializado (TI - Segurança da Informação)Tecnologia da Informação
Questão de Tecnologia da Informação — FGV DPE-RS 2023 (nº 64)
João recebeu a tarefa de adequar a gestão de riscos de segurança da informação da DPE/RS à norma ABNT NBR ISO/IEC 27005:2019.
Para isso, ele deve:
- Aremover ou substituir os controles considerados insuficientes;
- Bdeterminar o valor dos ativos de informação durante a definição do contexto;
- Cassegurar que os riscos residuais sejam aceitos pelos gestores;
- Ddeterminar os riscos residuais antes de definir o plano de tratamento do risco;
- Einiciar o processo de gestão de riscos com a identificação dos riscos.
Resposta comentada
Gabarito Alternativa C
- (A) Incorreta: remover ou substituir controles insuficientes é uma ação possível dentro do tratamento do risco, mas não é o requisito central destacado pela norma para o processo de gestão de riscos.
- (B) Incorreta: a valoração detalhada dos ativos ocorre na etapa de identificação/análise de riscos, e não propriamente na definição do contexto, que trata de critérios e escopo.
- (C) Correta: a norma ABNT NBR ISO/IEC 27005:2019 exige que o risco residual (o que permanece após o tratamento) seja formalmente aceito pelos gestores responsáveis, etapa conhecida como aceitação do risco.
- (D) Incorreta: o plano de tratamento do risco deve ser definido antes de se determinar o risco residual, já que o risco residual é o resultado (consequência) da aplicação do tratamento, não o contrário.
- (E) Incorreta: o processo de gestão de riscos da norma se inicia pela definição do contexto (estabelecimento de critérios e escopo), e só depois vem a etapa de identificação dos riscos.
Fonte: FGV DPE-RS 2023 Analista - Apoio Especializado (TI - Segurança da Informação) (Caderno Tipo 1). Reproduzida para fins de estudo.
Continue estudando
Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.
Estudar de graça no Quizinho