Questões de Concurso
Comentadas sobre norma 27005 em segurança da informação
Foram encontradas 341 questões
De acordo com essa norma, vulnerabilidade é a(o)
I. formular e selecionar opções de tratamento de riscos; II. avaliar se os riscos estão de acordo com o contexto do SGSI; III. decidir sobre a aceitabilidade do risco residual; IV. identificar os riscos da organização; V. avaliar os riscos identificados.
Dentre as atividades acima, fazem parte do processo interativo de tratamento de riscos, segundo a ABNT NBR ISO/IEC 27005:2023, somente as atividades:
A respeito do processo de gestão de riscos estabelecido pela NBR ISO/IEC 27005, julgue o seguinte item.
Uma das etapas do processo de gestão de risco consiste em
definir o contexto.
A respeito do processo de gestão de riscos estabelecido pela NBR ISO/IEC 27005, julgue o seguinte item.
O encerramento do processo de gestão de risco inclui
decisões sobre a aceitação do risco e consequente
comunicação às partes envolvidas.
Com base na NBR ISO/IEC 27005, julgue o item seguinte.
O processo de gestão de riscos deve contribuir para a
identificação dos riscos de segurança da informação.
Com base na NBR ISO/IEC 27005, julgue o item seguinte.
Na organização deve existir treinamento de gestores e de
pessoal sobre riscos e ações de mitigação.
A partir da lista de ameaças identificadas, decidiu-se que a utilização de dispositivos móveis seria bloqueada nos computadores do TRF1.
Segundo a norma ABNT NBR ISO/IEC 27005:2023, a opção de tratamento desse risco foi:
Com base na NBR ISO/IEC 27005, julgue o item a seguir, a respeito de gestão de riscos e continuidade de negócio.
Convém que a alta direção da organização avalie os riscos e
aceite uma parcela dos riscos de forma consciente e
calculada, para evitar custos excessivos em segurança.
Com base na NBR ISO/IEC 27005, julgue o item a seguir, a respeito de gestão de riscos e continuidade de negócio.
Para estabelecer o valor dos seus ativos, a organização deve
primeiramente identificá-los, distinguindo-os em dois tipos:
primários ou secundários.
Com base na NBR ISO/IEC 27005, julgue o item a seguir, a respeito de gestão de riscos e continuidade de negócio.
Ferramentas automatizadas de procura por vulnerabilidades
são utilizadas, em computador ou em rede de computadores,
para a busca de serviços reconhecidamente vulneráveis que
possam gerar falsos positivos.
Com base na NBR ISO/IEC 27005, julgue o item a seguir, a respeito de gestão de riscos e continuidade de negócio.
No processo de avaliação de ameaças, as ameaças
intencionais indicam ações de origem humana que podem
comprometer os ativos de informação.
Ao iniciar mais um dia de trabalho, os empregados constataram que os servidores estavam inacessíveis, impossibilitando-os de trabalhar na proposta.
Após ser notificada do fato, a equipe de TI analisou a situação e chegou à conclusão que a empresa sofreu um ataque do tipo Distributed Denial of Service (DDoS).
De acordo a NBR ISO/IEC 27005, da ABNT, o objetivo alvo dos atacantes era
A opção de tratamento de risco que permite gerenciar o seu nível por meio da inclusão, exclusão ou alteração de controles, a fim de que o risco residual seja aceitável, é o(a):
Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.
Segundo a NBR ISO/IEC 27005:2019, a comunicação do
risco é uma atividade protocolar que objetiva registrar
especificamente o posicionamento dos gestores sobre a
existência de determinados riscos e o nível de aceitação
desses riscos definido pela alta direção, para conhecimento
das demais instâncias internas da organização.
Com base na norma NBR ISO/IEC 27005:2019 e no NIST RMF, julgue o item a seguir.
De acordo com a NBR ISO/IEC 27005:2019, no contexto da
análise de riscos, depois de identificados os cenários de
incidentes, é necessário avaliar a probabilidade de cada
cenário e do impacto correspondente, usando-se técnicas de
análise qualitativas ou quantitativas e levando-se em
consideração a frequência da ocorrência das ameaças e a
facilidade com que as vulnerabilidades podem ser
exploradas.
De acordo com o previsto no processo de tratamento de riscos, estabelecido na Norma ISO 27005, a opção de tratamento do risco escolhido pela equipe de infraestrutura e redes foi:
A ABNT NBR ISO/IEC 27005:2011 fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)
Com relação à Gestão de Risco, em conformidade com a norma
ABNT NBR ISO/IEC 27005:2011, analise os itens a seguir.
I. O risco é o efeito da incerteza nos objetivos, sendo muitas
vezes caracterizado pela referência aos eventos potenciais e
às consequências, ou uma combinação destes.
II. O risco residual (ou "risco retido") se refere ao risco
remanescente após o tratamento de eventos sucessivos.
III. O nível de risco se relaciona a magnitude de um risco,
expressa em termos da combinação das consequências e de
suas probabilidades (likelihood)
Está correto o que se afirma em
Em relação à segurança da informação conforme o disposto nas normas ISO 27001, 27002 e 27005, julgue o item subsecutivo.
O processo de avaliação de riscos de segurança da informação, conforme prevê a ISO 27005, é uma atividade na qual a equipe de
análise deve mensurar o nível de risco mediante o uso de resultados obtidos nas etapas anteriores da gestão de riscos, atribuindo
valores para a probabilidade e a consequência de cada risco.
Julgue o item subsequente referente a conceitos de segurança da informação, segurança de redes sem fio e gestão de riscos em tecnologia da informação.
Quando um incidente que envolve a segurança da
informação provém de violação de obrigações estatutárias ou
regulatórias, fica caracterizado o impacto imediato
(operacional) direto, de acordo com a ABNT NBR ISO/IEC
27005:2019.