AO2_ Gestão de Riscos

Prévia do material em texto

27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 1/16
AO2
Entrega 26 jun em 23:59 Pontos 6 Perguntas 10
Disponível até 26 jun em 23:59 Limite de tempo Nenhum
Instruções
Este teste foi travado 26 jun em 23:59.
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 124 minutos 3 de 6
Pontuação deste teste: 3 de 6
Enviado 22 jun em 11:51
Esta tentativa levou 124 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você
clique em "FAZER O QUESTIONÁRIO", no final da página.
0,6 / 0,6 ptsPergunta 1
Leia o texto a seguir:
 
Risco: efeito da incerteza nos objetivos.
NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou
negativo.
NOTA 2 Os objetivos podem ter diferentes aspectos (tais como metas
financeiras, de saúde e segurança e ambientais) e podem aplicar–se em
diferentes níveis (tais como estratégico, em toda a organização, de projeto,
de produto e de processo).
NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos
potenciais e às consequências, ou uma combinação destes.
NOTA 4 O risco em segurança da informação é muitas vezes expresso em
termos de uma combinação de consequências de um evento (incluindo
A+
A
A-
https://famonline.instructure.com/courses/22973/quizzes/100610/history?version=1
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 2/16
mudanças nas circunstâncias) e a probabilidade (likelihood) associada de
ocorrência.
NOTA 5 A incerteza é o estado, mesmo que parcial, da deficiência das
informações relacionadas a um evento, sua compreensão, seu
conhecimento, sua consequência ou sua probabilidade.
NOTA 6 O risco de segurança da informação está associado com o
potencial de que ameaças possam explorar vulnerabilidades de um ativo
de informação ou grupo de ativos de informação e, consequentemente,
causar dano a uma organização.
Fonte: ABNT. NBR ISO/IEC 27005:2008. Gestão de Riscos da Segurança
da Informação.
Considerando as informações apresentadas, avalie as asserções a seguir
e a relação entre elas:
 
I. A organização e seus ativos apresentam vulnerabilidades que pode ser
explorada por uma ameaça.
PORQUE
II. O risco de segurança da informação contém uma estimativa das
consequências de eventos de segurança que produzem impactos nos
objetivos de negócios.
 
A respeito dessas asserções, assinale a opção correta.
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da
I.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
 As asserções I e II são proposições falsas. 
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 3/16
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
Correto!Correto!
A asserção I é verdadeira, pois uma Ameaça é a “causa potencial de
um incidente indesejado, que pode resultar em dano para um sistema
ou organização” (ISO/IEC, 2004) e a Vulnerabilidade é uma
“fragilidade de um ativo ou grupo de ativos que pode ser explorada por
uma ou mais ameaças”.
A asserção II também é verdadeira, pois o risco de segurança de
informação contém os efeitos de Evento de Segurança da Informação,
que representa a ocorrência identificada de um estado de sistema,
serviço ou rede, indicando uma possível violação da política de
segurança.
Entretanto, não existe uma relação de causalidade que justifica a
asserção I em função da asserção II.
0 / 0,6 ptsPergunta 2
Leia o texto:
 
Para se elaborar uma Política de Segurança da Informação, deve se levar
em consideração a NBR ISO/IEC 27001:2005, que é uma norma de
códigos de praticas para a gestão de segurança da informação, onde
podem ser encontradas as melhores práticas para iniciar, implementar,
manter e melhorar a gestão de segurança da informação
(https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-
dicas-de-boas-praticas-para-manter-seus-dados-seguros/) em uma
organização. Para elaboração da política, são necessárias algumas
atividades básicas.
 
Fonte: https://www.profissionaisti.com.br/politica-de-seguranca-da-
informacao-definicao-importancia-elaboracao-e-implementacao/
(https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-
definicao-importancia-elaboracao-e-implementacao/) Acesso em 27/10/2020
 
A+
A
A-
https://www.profissionaisti.com.br/2012/05/seguranca-da-informacao-10-dicas-de-boas-praticas-para-manter-seus-dados-seguros/
https://www.profissionaisti.com.br/politica-de-seguranca-da-informacao-definicao-importancia-elaboracao-e-implementacao/
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 4/16
Considerando o texto acima e o conteúdo visto, analise as afirmações a
seguir. 
I. Procedimentos e Instruções são um conjunto de orientações para realizar
atividades e instruções operacionais relacionadas à segurança.
Representam comandos operacionais a serem executados no momento da
realização de um procedimento de segurança. É importante que exista uma
estrutura de registro de que esses procedimentos são executados.
II. Normas são conjuntos de regras gerais de nível estratégico que estão
baseadas na visão e na missão da empresa. Essas regras representam as
preocupações da organização sobre a segurança das informações. 
III. A política de segurança deve considerar os negócios, os objetivos da
organização e sua cultura.
É verdadeiro o que se afirma em:
 I e II apenas. 
 I e III apenas. esposta corretaesposta correta
 I apenas. 
 II e III apenas. Você respondeuVocê respondeu
Alternativa incorreta. As afirmações I e III estão corretas.
Procedimentos e Instruções são um conjunto de orientações para
realizar atividades e instruções operacionais relacionadas à
segurança. Representam comandos operacionais a serem executados
no momento da realização de um procedimento de segurança. É
importante que exista uma estrutura de registro de que esses
procedimentos são executados. Assim como a política de segurança
deve considerar os negócios, os objetivos da organização e sua
cultura.
A afirmação II está incorreta, pois os conjuntos de regras gerais de
nível estratégico que estão baseadas na visão e na missão da
empresa, que representam as preocupações da organização sobre a
segurança das informações, são as Diretrizes e não normas.
 III apenas. 
0,6 / 0,6 ptsPergunta 3
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 5/16
Analise a tirinha a seguir:
 
Fonte: Gênio Hacker. Vida de Suporte. Disponível em:
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
(https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/) . Acesso em: 09
de março de 2021.
 
Pessoas mal intencionadas causam cada vez mais problemas para as
empresas, através de invasões, disseminação de malwares, deleção de
informações críticas, sequestro de ambientes computacionais, ataque de
negação de serviço, entre outros tipos de ataque.
A+
A
A-
https://vidadesuporte.com.br/suporte-a-serie/genio-hacker/
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 6/16
Essas pessoas mal intencionadas, chamadas de invasores ou criminosos
virtuais caracterizam um risco a ser considerado.
Assinale a opção correta que descreve o atacante classificado como
insider:
 
Atacante que usa técnicas de infecção, invasão e roubo de informações, a
fim de causar danos às empresas ou mesmo ter algum tipo de benefício
próprio.
 
Atacante que tem fácil acesso aos sistemas e informações da empresa por
ser um funcionário, e que usa esse acesso e seus conhecimentos com o
intuito de prejudicar a empresa.
Correto!Correto!
Quando ataque é gerado por um prestador de serviços,assim como 
quando um funcionário ou ex-funcionário gera um ataque, chamamos 
o mesmo de insider, pois ele atua de dentro da organização a fim de 
causar danos.
 
Indivíduo que já atuou como cibercriminoso e que no momento usa seus
conhecimentos técnicos para auxiliar as empresas, atuando na equipe
técnica das mesmas.
 
Atacante que usa seus conhecimentos para fazer campanhas ativistas de
reivindicações diversas, e que atua muito fortemente divulgando
informações das empresas.
 
Indivíduo que utiliza seus conhecimentos apenas para identificar falhas e
avisar as pessoas e empresas dessas vulnerabilidades, sem o intuito de
benefícios próprios.
0,6 / 0,6 ptsPergunta 4
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 7/16
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do
Processo Corporativo de Segurança da Informação e tem por objetivo
minimizar a ocorrência de ameaças que podem interferir (negativamente)
no recurso de informação utilizado pela organização para atingir os seus
objetivos
Um risco combina as consequências originadas da ocorrência de um
evento indesejado e da probabilidade de sua ocorrência. O processo de
avaliação de riscos quantifica ou descreve o risco qualitativamente, e
capacita os gestores a priorizar os riscos, de acordo com a sua gravidade
percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-
seguranca-da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-
informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objeti
 Acesso em: 27//210/2020.
 
Considerando o exposto no texto acima, assim como o conteúdo visto na
disciplina, avalie as afirmações a seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que
possam causar uma perda potencial, evidenciando seu local, razão e
impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como:
informações, processos e sistemas) e, por isso, também as organizações.
Ameaças podem ser de origem natural ou humana, e podem ser acidentais
ou intencionais.
III. A identificação dos controles existentes é realizada para evitar custos e
trabalhos desnecessários, por exemplo, na duplicação de controles. Além
disso, é preciso testar os controles existentes – eles são testados para
assegurar que estão funcionando corretamente
É correto o que se afirma em:.
 I, II e III. Correto!Correto!
A+
A
A-
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 8/16
Alternativa Correta. As afirmações I, II e III estão corretas, pois a etapa 
de identificação de riscos é quando são determinados os eventos que 
possam causar uma perda potencial, evidenciando seu local, razão e 
impactos. Assim como, uma ameaça tem o potencial de comprometer 
ativos, como informações, processos e sistemas, e por isso, podem 
também comprometer as organizações, elas podem ser de origem 
natural ou humana, e podem ser acidentais ou intencionais. 
Finalmente, a identificação de controles existentes é realizada para 
evitar custos e trabalhos desnecessários, e tão importante quanto isso, 
é realizar testes nos controles existentes, para assegurar que estão 
funcionando corretamente.
 I apenas. 
 I e III apenas. 
 III apenas. 
 II apenas. 
0 / 0,6 ptsPergunta 5
Leia o texto a seguir:
 
A análise qualitativa de riscos avalia a prioridade dos riscos identificados
usando a probabilidade de eles ocorrerem, o impacto correspondente nos
objetivos do projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente o
efeito dos riscos identificados nos objetivos gerais do projeto.
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do
conjunto de conhecimentos em gerenciamento de projetos: Guia
PMBOK. 3. ed. Newtown Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a seguir
e a relação entre elas:
 
I. Durante o processo de gerenciamento de riscos, somente a metodologia
de análise quantitativa deve ser utilizada.
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 9/16
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores
monetários aos ativos, consequências e controles, mas escalas de
atributos.
 
A respeito dessas asserções, assinale a opção correta.
 
A asserção I é uma proposição falsa, e a asserção II é uma proposição
verdadeira.
esposta corretaesposta correta
 
As asserções I e II são proposições verdadeiras, e a II é uma justificativa da
I.
 
As asserções I e II são proposições verdadeiras, mas a II não é uma
justificativa da I.
Você respondeuVocê respondeu
Alternativa incorreta, pois a asserção I é uma proposição falsa, e a
asserção II é uma proposição verdadeira.
A asserção I está incorreta, A análise pode ser realizada segundo a
metodologia qualitativa, quantitativa ou a combinação das duas,
dependendo das circunstâncias. A metodologia qualitativa é
principalmente utilizada para uma verificação inicial dos riscos,
quando não estão disponíveis dados numéricos em quantidade
suficiente.
A asserção II está correta, análise qualitativa se baseia na avaliação,
através de atributos qualificadores e descritivos, da intensidade das
consequências e probabilidade de ocorrência do risco identificado. Por
exemplo, a probabilidade de ocorrência pode ser Baixa, Média, Alta,
Muito Alta e Elevada. As consequências ou impactos pode ser Alto,
Médio e Baixo.
 A asserções I e II são proposições falsas. 
 
A asserção I é uma proposição verdadeira, e a asserção II é uma
proposição falsa.
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 10/16
0 / 0,6 ptsPergunta 6
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração
de controles, de forma que o risco residual possa ser reduzido e, por
conseguinte, aceito. Os controles selecionados devem satisfazer os
critérios para aceitação do risco e os requisitos legais, regulatórios e
contratuais. Devem considerar também custos, prazos, interação com
outros controles, aspectos técnicos, culturais e ambientais, e demais
restrições que possam afetar sua implementação.
 
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf)
Acesso em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é
descrito como sendo as atividades que implementam controles que visam
reparar qualquer anormalidade. Qual é este tipo de controle?
 Conscientização 
 Correção esposta corretaesposta correta
 Detecção 
 Recuperação Você respondeuVocê respondeu
Alternativa Incorreta. Na Recuperação, a atividade de implementação
de controle é realizada para retornar o sistema para uma situação de
normalidade.
A alternativa correta é Correção, pois no tipo de controle de correção,
as atividades implementarão controles que visem corrigir qualquer
anormalidade.
 Prevenção 
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 11/16
0 / 0,6 ptsPergunta 7
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode
ser aplicado na organização como um todo, ou a uma área específica da
organização (...), a qualquer sistema de informações, a controles já
existentes, planejados ou apenas a aspectos particulares de um controle.
Essa norma apresenta também o processo de gestão de riscos de
segurança da informação,descrevendo o funcionamento, as fases,
entradas e saídas de tal processo, assim como os grupos de atividades
previstas para cada subprocesso.
Fonte:
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
 (https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf)
 Acesso em 27/10/2020.
 
Qual das alternativas abaixo se refere a etapa em que se identificam os
riscos e determinam as ações necessárias para reduzir o risco a um nível
aceitável pela organização?
 Definição do contexto. 
 Tratamento do risco. Você respondeuVocê respondeu
Resposta incorreta.
Tratamento do risco é a etapa onde a partir dos resultados obtidos
nas etapas anteriores, são estabelecidos os controles necessários
para o tratamento do risco, sendo assim, as opções para o tratamento
dos riscos são selecionadas e o Plano de Tratamento do Risco (PTR)
é definido.
No entanto Análise/Avaliação de riscos é a etapa na qual se
identificam os riscos e determinam as ações necessárias para reduzir
o risco a um nível aceitável pela organização. É conveniente que os
riscos sejam identificados, quantificados ou descritos qualitativamente,
para então serem priorizados com base em critérios de avaliação de
riscos e dos objetivos relevantes da organização.
A+
A
A-
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 12/16
 Comunicação do risco. 
 Análise/Avaliação de riscos esposta corretaesposta correta
 Aceitação do risco. 
0,6 / 0,6 ptsPergunta 8
O quadro a seguir representa as opções de tratamento de risco da Agência
Nacional de Petróleo (ANP).
Fonte: ANP. Metodologia de Gestão de Riscos ANP. Versão 2.
Agosto/2019. p. 16. Disponível em:
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-
riscos-anp.pdf (http://www.anp.gov.br/arquivos/gestao-
riscos/metodologia-gestao-riscos-anp.pdf) . Acesso em: 01 de junho de
2020.
Em relação ao Tratamento de riscos, considere as seguintes afirmações:
 
I. Quando são identificados riscos extremamente elevados, em que os
custos para a implementação de controles excedem seus benefícios, o
risco deve ser 100% evitado.
A+
A
A-
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 13/16
II. Uma forma de compartilhamento do risco, é o uso de seguros que
cubram as consequências da ocorrência de um incidente de segurança da
informação.
III. A retenção do risco representa a aceitação do risco de uma perda, isto
é, aceita-se “correr o risco”.
 
É correto o que se afirma em:
 II, apenas. 
 II e III, apenas. 
 I, II e III. Correto!Correto!
Alternativa correta.
A afirmação I está correta, pois se os custos do controle excedem os
benefícios e o negócio já possui alto risco, deve-se evitar o risco.
A afirmação II está correta, pois haverá a transferência ou
compartilhamento dos riscos com uma entidade externa, no caso, a
seguradora.
A afirmação III está correta, pois aceitação do risco, consciente e
objetiva, desde que claramente satisfazendo as políticas da
organização e os critérios para aceitação do risco” descreve a mesma
atividade, que pode ser entendida como “correr o risco”.
 I e III, apenas. 
 I e II, apenas. 
0 / 0,6 ptsPergunta 9
Leia o texto a seguir:
 
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a
informação, leve em consideração as necessidades do negócio para
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 14/16
compartilhar ou restringir a informação bem como os requisitos legais.
Convém que outros ativos além dos ativos de informação também sejam
classificados de acordo com a classificação da informação armazenada,
processada, manuseada ou protegida pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a
classificação da informação poderá seguir tantos quantos níveis de
classificação a complexidade do negócio exija, mas vias de regra, os níveis
mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências
do acesso não autorizado à esta informação são severos e, possivelmente,
irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas
consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou
consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática.
06/07/2018. Disponível em https://cryptoid.com.br/banco-de-
noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-
teoria-a-pratica/) . Acesso em: 01 de junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a
alternativa correta.
 O controle de acesso físico só pode ser realizado com senha. 
 Documentos eletrônicos como e-mail não devem ser rotulados. 
 Todas as regras para rotulação foram definidas na norma ISO 27.001. Você respondeuVocê respondeu
Alternativa incorreta.
Não há na norma ISO 27.001 regras de rotulação. A própria empresa
deve criar seus procedimentos.
Para rotular papéis o uso de etiquetas, carimbos e outras marcas
visuais são recomendados, pode também ser inclusa no rodapé dos
documentos ou até mesmo como marca d’água.
A+
A
A-
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 15/16
 
É possível a rotulação em documentos impressos através de etiquetas,
carimbos e outras marcas visuais.
esposta corretaesposta correta
 
Base de dados de sistemas e aplicativos não devem receber classificação
de informação.
0,6 / 0,6 ptsPergunta 10
Leia o texto a seguir:
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua
aplicação na gestão de riscos. Ao buscar o seu significado nos dicionários,
encontra-se, entre outras definições, que contexto é um substantivo
masculino que significa “inter-relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da
totalidade de circunstâncias que possibilitam, condicionam ou determinam
a realização de um texto, projeto, atividade ou mesmo de um evento de
segurança da informação. Em outras palavras, contexto é o conjunto de
circunstâncias que se relacionam de alguma forma com um determinado
acontecimento.
É a situação geral ou o ambiente a que está sendo referido um
determinado assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de
Janeiro: RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de
Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve
o evento em análise.
A+
A
A-
27/06/22, 12:24 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/22973/quizzes/100610 16/16
II. São exemplos de escopo e limites: uma aplicação de TI, uma
infraestrutura de TI, um processo de negócio, departamento de TI, entre
outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e
nível de risco presente na norma ISO 27005.
 
É correto o que se afirma em:
 I e III, apenas 
 I, apenas. 
 I e II, apenas. Correto!Correto!
Alternativa correta.
A afirmação I está correta, a etapa inicial do processo de Gestão de
Riscos é a Definição de Contexto, na qual ocorre a definição do
ambiente, escopo, critérios de avaliação, entre outras definições. Esta
etapa é fundamental para a equipe que realiza a gestão de risco
conhecer todas as informações sobre a organização.
A afirmação II está correta, escopo é descrição dos limites do projeto,
sua abrangência, seus resultadose entregas. São exemplos de
escopo e limites: Uma aplicação de TI, A infraestrutura de TI, um
processo de negócio, o departamento de TI, uma filial, o sistema de
internet banking de uma instituição financeira, o serviço de e-mail da
organização, o processo de controle de acesso físico da organização,
 o datacenter da organização , o sistema logístico de distribuição de
provas de concurso público nacional, a intranet da organização, entre
outros.
A afirmação III está incorreta, pois a norma não define critérios
padronizados de risco e de criticidade. Os critérios são a forma e o
valor (pesos) com que serão valorados os riscos e os impacto.
 I, II e III. 
 II e III, apenas. 
Pontuação do teste: 3 de 6
A+
A
A-