AO2_ Gestão de Riscos (1)

Prévia do material em texto

08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 1/11
AO2
Entrega 12 dez em 23:59 Pontos 6 Perguntas 10 Disponível 1 dez em 0:00 - 12 dez em 23:59 12 dias
Limite de tempo Nenhum
Instruções
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 93 minutos 4,8 de 6
 As respostas corretas estarão disponíveis em 13 dez em 0:00.
Pontuação deste teste: 4,8 de 6
Enviado 8 dez em 22:49
Esta tentativa levou 93 minutos.
Importante:
Caso você esteja realizando a atividade através do aplicativo "Canvas Student", é necessário que você clique em "FAZER O QUESTIONÁRIO", no
final da página.
0 / 0,6 ptsPergunta 1IncorretaIncorreta
Leia o Texto:
 
O risco pode ser modificado por meio da inclusão, exclusão ou alteração de controles, de forma que o risco
residual possa ser reduzido e, por conseguinte, aceito. Os controles selecionados devem satisfazer os
critérios para aceitação do risco e os requisitos legais, regulatórios e contratuais. Devem considerar também
custos, prazos, interação com outros controles, aspectos técnicos, culturais e ambientais, e demais
restrições que possam afetar sua implementação.
 
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
(https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf) Acesso em 27/10/2020
 
Dentre os tipos de proteção que os controles podem oferecer, há um que é descrito como sendo as
atividades que implementam controles que visam reparar qualquer anormalidade. Qual é este tipo de
controle?
 Recuperação 
 Prevenção 
Alternativa Incorreta. Em controles de Detecção, atividades de implementação de controles são realizadas
com o objetivo de descobrir erros ou anormalidades.
A alternativa correta é Correção, pois no tipo de controle de correção, as atividades implementarão
controles que visem corrigir qualquer anormalidade.
 Detecção 
 Conscientização 
https://famonline.instructure.com/courses/16279/quizzes/62142/history?version=1
https://repositorio.uniceub.br/jspui/bitstream/235/8152/1/51306989.pdf
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 2/11
 Correção 
0,6 / 0,6 ptsPergunta 2
Leia o texto e analise a figura a seguir:
 
A ISO 27005 fornece as diretrizes para o gerenciamento dos riscos de segurança da informação (SI) e dá
sustentação aos conceitos especificados na ISO 27001:2005, a norma de requisitos de sistemas de gestão
da SI, além de auxiliar sobremaneira na implementação e certificação de tais sistemas de gestão.
De acordo com a nova norma, o processo de gestão de riscos de SI é composto pelas seguintes atividades:
 
 
Fonte: CICCO, F. A nova norma internacional ISO 27005 de gestão de riscos de segurança da
informação. QSP. Disponível em: https://www.qsp.org.br/artigo_27005.shtml
(https://www.qsp.org.br/artigo_27005.shtml) . Acesso em: 09 de março de 2021.
 
Qual alternativa indica corretamente as etapas de tratamento do risco?
 Definição do contexto, identificação, análise e aceitação dos riscos. 
 Modificação, retenção, ação de evitar e compartilhamento do risco. 
https://www.qsp.org.br/artigo_27005.shtml
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 3/11
As etapas do tratamento de risco são modificação, retenção, ação de evitar e compartilhamento do risco:
A modificação ocorre através da implementação de controles específicos;
O compartilhamento ocorre através da transferência do risco para terceiros;
A retenção é a aceitação do risco, onde se toma conhecimento do mesmo, mas sem adoção de medidas
de controle;
A ação de evitar é a eliminação de atividade ou condição que dá origem a um determinado risco.
 Identificação de ameaças, controles, vulnerabilidades e consequências. 
 Monitoramento, análise e melhoria dos processos de prevenção ao risco. 
 Instalar antivírus, antispam, firewall e proxy eficientes para proteção. 
0 / 0,6 ptsPergunta 3IncorretaIncorreta
Leia o texto:
A norma ISO 27005 (2011) diz que o processo de gestão de riscos pode ser aplicado na organização como
um todo, ou a uma área específica da organização (...), a qualquer sistema de informações, a controles já
existentes, planejados ou apenas a aspectos particulares de um controle. Essa norma apresenta também o
processo de gestão de riscos de segurança da informação, descrevendo o funcionamento, as fases,
entradas e saídas de tal processo, assim como os grupos de atividades previstas para cada subprocesso.
Fonte: https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
(https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf) Acesso em 27/10/2020.
 
Qual das alternativas abaixo se refere a etapa em que se identificam os riscos e determinam as ações
necessárias para reduzir o risco a um nível aceitável pela organização?
 Definição do contexto. 
 Comunicação do risco. 
Resposta incorreta.
A Comunicação do risco transmite a existência do risco e a forma como será tratado, para todas as áreas
operacionais e seus gestores. Assim, ocorre uma troca ou compartilhamento de informações sobre o risco
entre o tomador de decisões e os stakeholders, isto é, outras partes interessadas.
Já a alternativa correta é a Análise/Avaliação de riscos é a etapa na qual se identificam os riscos e
determinam as ações necessárias para reduzir o risco a um nível aceitável pela organização. É
conveniente que os riscos sejam identificados, quantificados ou descritos qualitativamente, para então
serem priorizados com base em critérios de avaliação de riscos e dos objetivos relevantes da organização
 Aceitação do risco. 
 Tratamento do risco. 
 Análise/Avaliação de riscos 
0,6 / 0,6 ptsPergunta 4
https://repositorio.uniceub.br/jspui/bitstream/235/8149/1/50901743.pdf
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 4/11
O quadro a seguir representa as opções de tratamento de risco da Agência Nacional de Petróleo (ANP).
 Fonte: ANP. Metodologia de
Gestão de Riscos ANP. Versão 2. Agosto/2019. p. 16. Disponível em:
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
(http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf) . Acesso em: 01 de junho
de 2020.
Em relação ao Tratamento de riscos, considere as seguintes afirmações:
 
I. Quando são identificados riscos extremamente elevados, em que os custos para a implementação de
controles excedem seus benefícios, o risco deve ser 100% evitado.
II. Uma forma de compartilhamento do risco, é o uso de seguros que cubram as consequências da
ocorrência de um incidente de segurança da informação.
III. A retenção do risco representa a aceitação do risco de uma perda, isto é, aceita-se “correr o risco”.
 
É correto o que se afirma em:
 I, II e III. 
Alternativa correta.
A afirmação I está correta, pois se os custos do controle excedem os benefícios e o negócio já possui alto
risco, deve-se evitar o risco.
A afirmação II está correta, pois haverá a transferência ou compartilhamento dos riscos com uma entidade
externa, no caso, a seguradora.
A afirmação III está correta, pois aceitação do risco, consciente e objetiva, desde que claramente
satisfazendo as políticas da organização e os critérios para aceitação do risco” descreve a mesma
atividade, que pode ser entendida como “correr o risco”.
 I e III, apenas. 
 I e II, apenas. 
 II e III, apenas. 
 II, apenas. 
0,6 / 0,6 ptsPergunta 5
http://www.anp.gov.br/arquivos/gestao-riscos/metodologia-gestao-riscos-anp.pdf
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 5/11
Leia o texto a seguir:
 
Com o crescimento exponencial dos ataques realizados por cibercriminosos e a dependência cada vez
maior das empresas pelos recursos tecnológicos, realizar uma análise de riscos em TI é essencial, não só
para se proteger, mas para seguirsobrevivendo no mercado atual.
(...)
Os ataques citados acima só tendem a aumentar e, com isso, não basta mais as empresas se preocuparem
apenas com firewalls e sistemas antivírus. É preciso criar uma cultura de proatividade em busca das
melhores tecnologias e técnicas para manter os seus dados e os de seus clientes a salvo de pessoas mal-
intencionadas.
A análise de riscos é uma técnica de levantamento de informações acerca de processos e sistemas
utilizados na empresa de modo a melhorar a governança de ativos de TI em relação às vulnerabilidades
que podem ser encontradas, verificando a probabilidade de ocorrência de determinados eventos e as
consequências que eles podem trazer para a empresa.
Existem diversas formas de se pôr em prática uma análise de risco, mas o mais importante é entender a
fórmula que determina o que é um risco. Ele pode ser calculado multiplicando a vulnerabilidade de um ativo
e a importância para o todo.
Ou seja, quanto mais vulnerável for um item e quanto mais importante para a empresa ele for, maior é o
risco que ele corre. Assim, o investimento para diminuir esse risco terá que ser maior.
A análise dos riscos é uma técnica que obedece a um ciclo e deve ser feita periodicamente. Ao chegar ao
final do ciclo, pode-se recomeçar a fase de coleta de informações novamente.
A ideia é atribuir uma melhoria contínua aos processos, pois assim como a tecnologia evolui todos os dias,
as ações dos cibercriminosos também, e é preciso estar preparado a todo o momento.
Entre as principais vantagens de implementar uma política de análise de riscos na empresa estão o
encontro das vulnerabilidades que podem ser utilizadas por hackers para acessar os arquivos da empresa.
Como em muitos casos a empresa tem muitas vulnerabilidades para serem corrigidas, é necessário colocar
a atenção nos ativos que tem mais importância para o negócio da empresa, isto faz como que os
investimentos sejam dirigidos para o lugar certo de forma equilibrada.
Assim como evitar que dados sejam perdidos ou corrompidos, interrompendo a disponibilidade dos serviços
de tecnologia da informação na empresa e causando prejuízos que poderiam ter sido evitados, existe
também a redução de custos com restaurações e manutenção de sistemas.
 
Fonte: Análise de riscos em TI: o que é, como fazer e mais!. Strong Security, 2018. Disponível em:
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
(https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/) . Acesso em: 09
de março de 2021.
 
Considerando a importância de se realizar o processo de análise de riscos em uma empresa, ao se realizar
esse processo na empresa deve-se levar em consideração os aspectos: 
 confidencialidade, integridade e disponibilidade. 
 gravidade, urgência, tendência e transferência 
 pontos fortes, pontos fracos, oportunidades e ameaças 
 ativos, vulnerabilidades, ameaças e impactos. 
https://www.strongsecurity.com.br/blog/analise-de-riscos-em-ti-o-que-e-como-fazer-e-mais/
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 6/11
O que deve ser levado em consideração são os ativos, as vulnerabilidades, as ameaças e o impacto para a
empresa.
Os ativos são tudo aquilo que tem valor para a empresa; as vulnerabilidades são os pontos fracos dos
ativos; as ameaças são os eventos que exploram as vulnerabilidades dos ativos; e os impactos são as
perdas que a empresa vai ter. Considerando-se que o risco é a probabilidade de uma ameaça explorar a
vulnerabilidade dos ativos gerando impactos negativos, esses são os principais elementos que devem ser
levados em consideração ao se realizar o processo de análise de riscos.
 vulnerabilidades, Impactos e legalidade. 
0,6 / 0,6 ptsPergunta 6
Leia o texto:
 
A Gestão de Riscos de Segurança da Informação é uma Dimensão do Processo Corporativo de Segurança
da Informação e tem por objetivo minimizar a ocorrência de ameaças que podem interferir (negativamente)
no recurso de informação utilizado pela organização para atingir os seus objetivos
Um risco combina as consequências originadas da ocorrência de um evento indesejado e da probabilidade
de sua ocorrência. O processo de avaliação de riscos quantifica ou descreve o risco qualitativamente, e
capacita os gestores a priorizar os riscos, de acordo com a sua gravidade percebida.
 
Fonte: https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-
fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%2
 (https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-
avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20pos
 Acesso em: 27//210/2020.
 
Considerando o exposto no texto acima, assim como o conteúdo visto na disciplina, avalie as afirmações a
seguir. 
I. A etapa de identificação de riscos é a determinação dos eventos que possam causar uma perda potencial,
evidenciando seu local, razão e impactos. 
II. Uma ameaça tem o potencial de comprometer ativos (tais como: informações, processos e sistemas) e,
por isso, também as organizações. Ameaças podem ser de origem natural ou humana, e podem ser
acidentais ou intencionais.
III. A identificação dos controles existentes é realizada para evitar custos e trabalhos desnecessários, por
exemplo, na duplicação de controles. Além disso, é preciso testar os controles existentes – eles são
testados para assegurar que estão funcionando corretamente
É correto o que se afirma em:.
 III apenas. 
 I e III apenas. 
 II apenas. 
 I, II e III. 
https://imasters.com.br/devsecops/gestao-de-riscos-em-seguranca-da-informacao-como-fazer-uma-avaliacao#:~:text=A%20Gest%C3%A3o%20de%20Riscos%20de,seus%20objetivos%20corporativos%20e%20possibilitar
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 7/11
Alternativa Correta. As afirmações I, II e III estão corretas, pois a etapa de identificação de riscos é quando
são determinados os eventos que possam causar uma perda potencial, evidenciando seu local, razão e
impactos. Assim como, uma ameaça tem o potencial de comprometer ativos, como informações, processos
e sistemas, e por isso, podem também comprometer as organizações, elas podem ser de origem natural ou
humana, e podem ser acidentais ou intencionais. Finalmente, a identificação de controles existentes é
realizada para evitar custos e trabalhos desnecessários, e tão importante quanto isso, é realizar testes nos
controles existentes, para assegurar que estão funcionando corretamente.
 I apenas. 
0,6 / 0,6 ptsPergunta 7
Segundo a cartilha da Política de gestão de risco da Agência Nacional de Saúde, considere as seguintes
definições:
 
Nível de Risco: o nível de criticidade do risco, assim compreendido o quanto um risco pode afetar os
objetivos, processos de trabalho e projetos da ANS, a partir de escala pré-definida de criticidades possíveis.
Mapa de riscos: registro formal através do qual o gestor insere os riscos identificados, assim como as ações
mínimas referentes ao gerenciamento.
 
Níveis de Risco
Nível Extremo: Aqueles caracterizados por riscos associados à paralisação de operações, atividades,
projetos, programas ou processos da ANS, causando IMPACTOS IRREVERSÍVEIS nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Alto: Aqueles caracterizados por riscos associados à interrupção de operações, atividades, projetos,
programas ou processos da ANS, causando IMPACTOS DE REVERSÃO MUITO DIFÍCIL nos objetivos
relacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
Nível Médio: Aqueles caracterizados por riscos associados à interrupção de operações ou atividades da
ANS, de projetos, programas ou processos, causando IMPACTOS SIGNIFICATIVOS nos objetivosrelacionados ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas, porém recuperáveis.
Nível Baixo: Aqueles caracterizados por riscos associados à degradação de operações, atividades, projetos,
programas ou processos da ANS, causando IMPACTOS PEQUENOS nos objetivos relacionados ao
atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes interessadas.
Nível Muito Baixo: Aqueles caracterizados por riscos associados à degradação de operações, atividades,
projetos, programas ou processos da ANS, porém causando IMPACTOS MÍNIMOS nos objetivos
relacionado ao atendimento de metas, padrões ou à capacidade de entrega de produtos/serviços às partes
interessadas.
 
Fonte: ANS. Política de Gestão de Riscos. p. 29. Disponível em
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-
gestao-de-riscos.pdf
(http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-
riscos.pdf) . Acesso em 01 de junho de 2020. Adaptado.
Dadas essas definições, considere as seguintes afirmações:
 
http://www.ans.gov.br/images/stories/A_ANS/Transparencia_Institucional/gestao_de_riscos/cartilha-gestao-de-riscos.pdf
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 8/11
I. Riscos cujo nível seja extremo gerará impactos que dificilmente podem ser revertidos nas atividades e nos
objetivos da instituição.
II. A classificação proposta não pode ser utilizada pois não considera a probabilidade de ocorrência do
evento.
III. Riscos classificados como nível baixo devem ser desconsiderados, para as próximas etapas do
processo de gestão de risco.
 
É correto o que se afirma em:
 II, apenas. 
 I e III, apenas. 
 I e III, apenas. 
 I, apenas. 
Alternativa correta.
A afirmação I está correta, pois corresponde à classificação de Nível de Risco Extremo definida pela ANS.
A afirmação II está incorreta, porque o nível de criticidade no risco não deve levar em consideração a
probabilidade de ocorrência, que é considerada na Matriz de Risco na etapa de Avaliação do Risco.
A afirmação III está incorreta, porque para o risco ser desconsiderado, deve-se ir até a etapa de
Tratamento do risco.
 III, apenas. 
0,6 / 0,6 ptsPergunta 8
Leia o texto a seguir:
 
A análise qualitativa de riscos avalia a prioridade dos riscos identificados usando a probabilidade de eles
ocorrerem, o impacto correspondente nos objetivos do projeto [...]
A análise quantitativa de risco é o processo de analisar numericamente o efeito dos riscos identificados nos
objetivos gerais do projeto.
Fonte: PROJECT MANAGEMENT INSTITUTE (PMI). Um guia do conjunto de conhecimentos em
gerenciamento de projetos: Guia PMBOK. 3. ed. Newtown Square: PMI, 2004.
Considerando as informações apresentadas, avalie as asserções a seguir e a relação entre elas:
 
I. Durante o processo de gerenciamento de riscos, somente a metodologia de análise quantitativa deve ser
utilizada.
PORQUE
II. Na metodologia de análise de qualitativa não são atribuídos valores monetários aos ativos,
consequências e controles, mas escalas de atributos.
 
A respeito dessas asserções, assinale a opção correta.
 A asserção I é uma proposição verdadeira, e a asserção II é uma proposição falsa. 
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 9/11
 A asserção I é uma proposição falsa, e a asserção II é uma proposição verdadeira. 
Alternativa correta.
A asserção I está incorreta, A análise pode ser realizada segundo a metodologia qualitativa, quantitativa ou
a combinação das duas, dependendo das circunstâncias. A metodologia qualitativa é principalmente
utilizada para uma verificação inicial dos riscos, quando não estão disponíveis dados numéricos em
quantidade suficiente.
A asserção II está correta, análise qualitativa se baseia na avaliação, através de atributos qualificadores e
descritivos, da intensidade das consequências e probabilidade de ocorrência do risco identificado. Por
exemplo, a probabilidade de ocorrência pode ser Baixa, Média, Alta, Muito Alta e Elevada. As
consequências ou impactos pode ser Alto, Médio e Baixo.
 As asserções I e II são proposições verdadeiras, mas a II não é uma justificativa da I. 
 As asserções I e II são proposições verdadeiras, e a II é uma justificativa da I. 
 A asserções I e II são proposições falsas. 
0,6 / 0,6 ptsPergunta 9
Leia o texto a seguir:
 
De acordo com a ISO 27002:2013:
“Convém que a classificação e os controles de proteção, associados para a informação, leve em
consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os
requisitos legais. Convém que outros ativos além dos ativos de informação também sejam classificados de
acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo.”
Considerando a orientação acima, é perfeitamente possível entender que a classificação da informação
poderá seguir tantos quantos níveis de classificação a complexidade do negócio exija, mas vias de regra, os
níveis mais comuns de Classificação da Informação são:
CONFIDENCIAL: o impacto aos objetivos estratégicos e as consequências do acesso não autorizado à esta
informação são severos e, possivelmente, irreversíveis.
RESTRITO: impacto menor, mas consequências relevantes.
USO INTERNO: constrangimento é maior que o impacto e suas consequências.
PÚBLICO: o acesso é permitido a qualquer pessoa, sem impacto ou consequências ao negócio.
 
Fonte: TELLES, W. Classificação da Informação: da teoria à prática. 06/07/2018. Disponível em
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
(https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/) . Acesso em: 01 de
junho de 2020.
Em relação aos mecanismos de rotulação e controle de acesso, assinale a alternativa correta.
 Base de dados de sistemas e aplicativos não devem receber classificação de informação. 
 É possível a rotulação em documentos impressos através de etiquetas, carimbos e outras marcas visuais. 
Alternativa correta.
Para rotular papéis o uso de etiquetas, carimbos e outras marcas visuais são recomendados, pode também
ser inclusa no rodapé dos documentos ou até mesmo como marca d’água.
https://cryptoid.com.br/banco-de-noticias/classificacao-da-informacao-da-teoria-a-pratica/
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 10/11
 Todas as regras para rotulação foram definidas na norma ISO 27.001. 
 Documentos eletrônicos como e-mail não devem ser rotulados. 
 O controle de acesso físico só pode ser realizado com senha. 
0,6 / 0,6 ptsPergunta 10
Leia o texto a seguir:
 
Contexto
 
É necessário entender o significado conceitual de “contexto” e sua aplicação na gestão de riscos. Ao buscar
o seu significado nos dicionários, encontra-se, entre outras definições, que contexto é um substantivo
masculino que significa “inter-relação de circunstâncias que
acompanham um fato ou uma situação”.
Assim, ao nos referirmos a “contexto” queremos na verdade tratar da totalidade de circunstâncias que
possibilitam, condicionam ou determinam a realização de um texto, projeto, atividade ou mesmo de um
evento de segurança da informação. Em outras palavras, contexto é o conjunto de circunstâncias que se
relacionam de alguma forma com um determinado acontecimento.
É a situação geral ou o ambiente a que está sendo referido um determinado assunto.
Fonte: BEZERRA, E. K. Gestão de riscos de TI: NBR 27005. Rio de Janeiro: RNP/ESR, 2013. p. 22.
Considere as seguintes afirmações sobre a etapa de Definição de Contexto:
 
I. A contextualização é a atividade de mapear todo o ambiente que envolve o evento em análise.
II. São exemplos de escopo e limites: uma aplicação de TI, uma infraestrutura de TI, um processo de
negócio,departamento de TI, entre outros.
III. A empresa deve utilizar os critérios de nível de impacto, criticidade e nível de risco presente na norma
ISO 27005.
 
É correto o que se afirma em:
 I e III, apenas 
 I, apenas. 
 I, II e III. 
 I e II, apenas. 
08/12/2021 22:59 AO2: Gestão de Riscos
https://famonline.instructure.com/courses/16279/quizzes/62142 11/11
Alternativa correta.
A afirmação I está correta, a etapa inicial do processo de Gestão de Riscos é a Definição de Contexto, na
qual ocorre a definição do ambiente, escopo, critérios de avaliação, entre outras definições. Esta etapa é
fundamental para a equipe que realiza a gestão de risco conhecer todas as informações sobre a
organização.
A afirmação II está correta, escopo é descrição dos limites do projeto, sua abrangência, seus resultados e
entregas. São exemplos de escopo e limites: Uma aplicação de TI, A infraestrutura de TI, um processo de
negócio, o departamento de TI, uma filial, o sistema de internet banking de uma instituição financeira, o
serviço de e-mail da organização, o processo de controle de acesso físico da organização, o datacenter da
organização , o sistema logístico de distribuição de provas de concurso público nacional, a intranet da
organização, entre outros.
A afirmação III está incorreta, pois a norma não define critérios padronizados de risco e de criticidade. Os
critérios são a forma e o valor (pesos) com que serão valorados os riscos e os impacto.
 II e III, apenas. 
Pontuação do teste: 4,8 de 6