A empresa Delta está desenvolvendo uma aplicação de consultas remotas para atender a um hospital. Após uma reunião com a direção do hospital, surgiu a necessidade de avaliação dos riscos com relação à confidencialidade das informações dos prontuários dos pacientes para que não se tornem públicos.
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com:

Question

A

a avaliação qualitativa de riscos baseada em impacto e probabilidade;

B

a implementação imediata de firewall de perímetro;

C

a criação de política de uso de e-mail corporativo;

D

a criação de backup diário dos registros médicos;

E

a auditoria financeira dos contratos de TI.

Incorreta. Gabarito oficial da banca:

Esse erro também aparece no seu Resumão. Veja o que melhorar

teste

Parabéns! Você acertou!

Esse acerto está no seu Resumão. Ver Resumão da semana

teste

Qconcursos · Accepted Answer

Alternativa [A] a avaliação qualitativa de riscos baseada em impacto e probabilidade;  Gabarito: AFundamento decisivo: A decisão estava em identificar, na metodologia da ISO/IEC 27005, a etapa de avaliação do risco de confidencialidade dos prontuários, e não a adoção imediata de um controle específico.Tema central: avaliação de riscosAnálise das alternativasACertaA alternativa A é a correta porque descreve a avaliação de riscos com base em probabilidade e impacto, exatamente o tipo de atividade usada na apreciação/avaliação do risco antes da seleção de controles. As demais opções tratam de controles ou ações sem relação direta com o início desse processo.BErradaImplementar firewall de perímetro é medida de tratamento/controle. O erro é confundir a etapa de avaliação de riscos com a implantação imediata de uma salvaguarda específica.CErradaCriar política de uso de e-mail corporativo é um controle administrativo específico. Isso não corresponde ao começo do processo metodológico de avaliação de riscos do cenário apresentado.DErradaCriar backup diário é controle ligado principalmente à disponibilidade e à recuperação. Além de ser tratamento, não atende ao ponto central cobrado, que é iniciar a avaliação do risco de divulgação indevida de prontuários.EErradaAuditoria financeira dos contratos de TI não é etapa inicial de avaliação de riscos de segurança da informação voltada à confidencialidade. Trata-se de atividade sem aderência direta ao processo de avaliação de risco descrito.Pegadinha da questãoTrocar avaliação de riscos por adoção imediata de controles.Dica para questões semelhantesSe a pergunta é sobre começar a avaliação de riscos, procure a alternativa que descreve análise do risco, não implementação de controle.

🚀 Mais performance?

🚀 Mais performance?

A empresa Delta está desenvolvendo uma aplicação de consulta...

Gabarito comentado

Gabarito: A

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas