Julgue o item a seguir, relativo à certificação digital, à g...
Julgue o item a seguir, relativo à certificação digital, à gestão de riscos e ao disposto na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados Pessoais − LGPD).
De acordo com a NBR ISO/IEC 27005, um propósito viável para a gestão de riscos de segurança da informação é definir a execução de políticas e procedimentos, incluindo-se a implementação dos controles selecionados.
Comentários
Veja os comentários dos nossos alunos
A gestão de riscos de segurança da informação (ISO 27005) tem como propósito identificar, analisar e avaliar os riscos para determinar quais controles devem ser selecionados.
A execução das políticas, procedimentos e a implementação dos controles são resultados ou atividades do Sistema de Gestão de Segurança da Informação - SGSI (ISO 27001) que são guiadas pela análise de riscos, mas não são o propósito principal da gestão de riscos em si.
Pense da seguinte forma:
A gestão de riscos está preocupada em identificar possíveis ameaças e sugerir soluções.
- "Ei, estou identificando um risco aqui! Precisamos fazer algo para saná-lo."
Por outro lado, a execução de politicas e procedimentos é a responsável por colocar em prática tais recomendações, baseando-se em regras pré-estabelecidas pelas políticas, ou seja, é o passo a passo de como aquele risco será sanado.
- "Ok. Para o caso acima, a política prevê X. Para isso, utilizaremos Y, por intermédio do software Z."
Portanto, a questão é FALSA, pois a gestão de riscos de segurança da informação tem por objetivo identificar, analisar e avaliar os riscos. A execução de políticas e procedimentos ficaria a cargo do SGSI.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo