Julgue o item a seguir, relativo à certificação digital, à g...

Próximas questões
Com base no mesmo assunto
Q3156770 Segurança da Informação

Julgue o item a seguir, relativo à certificação digital, à gestão de riscos e ao disposto na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais − LGPD).


De acordo com a NBR ISO/IEC 27005, um propósito viável para a gestão de riscos de segurança da informação é definir a execução de políticas e procedimentos, incluindo-se a implementação dos controles selecionados.

Alternativas

Comentários

Veja os comentários dos nossos alunos

A gestão de riscos de segurança da informação (ISO 27005) tem como propósito identificar, analisar e avaliar os riscos para determinar quais controles devem ser selecionados.

A execução das políticas, procedimentos e a implementação dos controles são resultados ou atividades do Sistema de Gestão de Segurança da Informação - SGSI (ISO 27001) que são guiadas pela análise de riscos, mas não são o propósito principal da gestão de riscos em si.

Pense da seguinte forma:

A gestão de riscos está preocupada em identificar possíveis ameaças e sugerir soluções.

  • "Ei, estou identificando um risco aqui! Precisamos fazer algo para saná-lo."

Por outro lado, a execução de politicas e procedimentos é a responsável por colocar em prática tais recomendações, baseando-se em regras pré-estabelecidas pelas políticas, ou seja, é o passo a passo de como aquele risco será sanado.

  • "Ok. Para o caso acima, a política prevê X. Para isso, utilizaremos Y, por intermédio do software Z."

Portanto, a questão é FALSA, pois a gestão de riscos de segurança da informação tem por objetivo identificar, analisar e avaliar os riscos. A execução de políticas e procedimentos ficaria a cargo do SGSI.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo