SIMULADO3 - Bloco 7 - Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024

Prévia do material em texto

601) 
Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024
https://www.tecconcursos.com.br/s/Q3Jnon
Ordenação: Por Matéria e Assunto (data)
www.tecconcursos.com.br/questoes/194917
IADES - Ana TA (SUDAM)/SUDAM/Analista em Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Se uma organização aceita conscientemente o risco, sem a preocupação de implementar controles
adicionais, ela está praticando, de acordo com a norma ABNT NBR ISO/IEC 27005, a seguinte opção de
tratamento do risco:
a) redução do risco.
b) retenção do risco.
c) suspensão do risco.
d) transferência do risco.
e) comunicação do risco.
www.tecconcursos.com.br/questoes/205398
CEBRASPE (CESPE) - AJ TRT17/TRT 17/Apoio Especializado/Tecnologia da Informação/2013
https://www.tecconcursos.com.br/s/Q3Jnon
https://www.tecconcursos.com.br/questoes/194917
https://www.tecconcursos.com.br/questoes/205398
602) 
603) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação aos processos de definição, implantação e gestão de políticas organizacionais, julgue
os item a seguir.
 
Para uma efetiva gestão de riscos, deve-se alinhar a gestão de TI ao sistema de gestão de riscos da
organização.
Certo
Errado
www.tecconcursos.com.br/questoes/205399
CEBRASPE (CESPE) - AJ TRT17/TRT 17/Apoio Especializado/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação aos processos de definição, implantação e gestão de políticas organizacionais, julgue
os item a seguir.
 
Na avaliação de riscos, abordam-se os riscos externos e os internos, avaliando-os por meio de métodos
qualitativos e quantitativos, ao passo que, no estabelecimento do contexto do risco, a definição deve se
ater apenas ao contexto interno.
Certo
Errado
www.tecconcursos.com.br/questoes/205400
https://www.tecconcursos.com.br/questoes/205399
https://www.tecconcursos.com.br/questoes/205400
604) 
605) 
CEBRASPE (CESPE) - AJ TRT17/TRT 17/Apoio Especializado/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação aos processos de definição, implantação e gestão de políticas organizacionais, julgue
os item a seguir.
 
No processo de gestão de risco, a análise de risco abrange, entre outras, a atividade de identificação de
riscos, de estimativa de riscos, de avaliação de riscos e, caso necessário, a atividade de aceitação de
riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/206077
FCC - AJ TRT18/TRT 18/Apoio Especializado/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considere a figura abaixo que mostra o Sistema de Gestão de Riscos da Norma NBR ISO/IEC
27005: 2008.
 
https://www.tecconcursos.com.br/questoes/206077
 
A Análise/Avaliação de Riscos é composta das etapas I, II e III mostradas na figura acima, que se
referem, respectivamente, a:
a) Classificação de Riscos − Priorização de Riscos − Encaminhamento de Riscos.
b) Identificação de Riscos − Estimativa de Riscos − Avaliação de Riscos.
606) 
607) 
c) Reter o Risco − Evitar o Risco − Transferir o Risco.
d) Identificação do Risco − Análise de Vunerabilidade − Definição de Ações de Mitigação do Risco.
e) Classificar o Risco − Priorizar o Risco − Mitigar o Risco.
www.tecconcursos.com.br/questoes/206623
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Desenvolvimento de
Sistemas da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, a respeito de segurança da informação.
 
Radiação, furto e fenômeno sísmico são, respectivamente, exemplos de vulnerabilidades dos tipos
acidente, intencional e natural, e podem constar no gerenciamento e no tratamento de risco.
Certo
Errado
www.tecconcursos.com.br/questoes/206787
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008.
A definição do plano de tratamento de riscos e avaliação de riscos deve ser realizada na fase de
execução do SGSI.
https://www.tecconcursos.com.br/questoes/206623
https://www.tecconcursos.com.br/questoes/206787
608) 
609) 
Certo
Errado
www.tecconcursos.com.br/questoes/206788
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008.
 
Caso o SGSI já esteja aprovado, a definição do contexto na gestão de riscos é opcional, pois, no SGSI, o
propósito da gestão de risco inclui as diretrizes para implementação dos controles.
Certo
Errado
www.tecconcursos.com.br/questoes/206789
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008.
 
Para possibilitar a comparação entre organizações de mesmo ramo de atividade, a organização deve
utilizar, na gestão de riscos, a escala de níveis de aceitação de riscos descrita na norma, limitando-se, a,
no máximo, um limite por nível de risco.
Certo
https://www.tecconcursos.com.br/questoes/206788
https://www.tecconcursos.com.br/questoes/206789
610) 
611) 
Errado
www.tecconcursos.com.br/questoes/206790
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008.
 
Na análise e avaliação de riscos, faz-se a combinação da probabilidade com o impacto da ocorrência
indesejada, de modo que os riscos e as ameaças sejam ordenados de acordo com sua gravidade
percebida pelo valor ativo para a organização.
Certo
Errado
www.tecconcursos.com.br/questoes/206796
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008.
 
Na estimativa de risco, atribuem-se valores às probabilidades e também às consequências de um risco.
Certo
Errado
https://www.tecconcursos.com.br/questoes/206790
https://www.tecconcursos.com.br/questoes/206796
612) 
613) 
www.tecconcursos.com.br/questoes/206797
CEBRASPE (CESPE) - AA (ANTT)/ANTT/Tecnologia da Informação/Infraestrutura de TI/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item seguinte, de acordo com a norma NBR ISO/IEC 27005:2008.
 
No tratamento de risco, há opção de se reduzir ou de se transferir o risco. Na primeira opção, são
tomadas ações para reduzir a probabilidade ou consequências negativas associadas a um risco, ao passo
que, na segunda, pode-se compartilhar o benefício do ganho associado a determinado risco.
Certo
Errado
www.tecconcursos.com.br/questoes/345624
CEBRASPE (CESPE) - Ana TI (FUB)/FUB/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item que se segue, com relação à gerência de riscos.
 
Em uma análise de riscos, quando os riscos identificados recebem ações para o tratamento e, ainda
assim, permanecem riscos considerados menores, estes últimos são considerados riscos residuais.
Certo
Errado
www.tecconcursos.com.br/questoes/345628
https://www.tecconcursos.com.br/questoes/206797
https://www.tecconcursos.com.br/questoes/345624
https://www.tecconcursos.com.br/questoes/345628
614) 
615) 
CEBRASPE (CESPE) - Ana TI (FUB)/FUB/2013TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item que se segue, com relação à gerência de riscos.
 
Processos de análise de riscos que avaliam, em valores monetários, o impacto com a concretização do
risco são considerados como análise qualitativa de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/436762
CEBRASPE (CESPE) - Ana (SERPRO)/SERPRO/Desenvolvimento de Sistemas/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito de gerência de riscos, julgue o item que se segue.
 
A avaliação de risco limita-se a compreender a avaliação de ameaças, impactos e vulnerabilidades da
informação assim como das instalações de processamento da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/649172
FGV - Ana Sist (AL MT)/AL MT/Administração de Redes e Segurança/2013
https://www.tecconcursos.com.br/questoes/436762
https://www.tecconcursos.com.br/questoes/649172
616) 
617) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à Gestão da Segurança da Informação, assinale a alternativa que indica a norma
especificamente destinada a fornecer orientação para o gerenciamento de risco da segurança da
informação.
a) ISO/IEC 27001
b) ISO/IEC 27002
c) ISO/IEC 27005
d) ISO/IEC 27006
e) ISO/IEC 27010
www.tecconcursos.com.br/questoes/77393
FEMPERJ - ACE (TCE RJ)/TCE RJ/Organizacional/Tecnologia da Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A ISO 27005 é uma norma referente à segurança da informação, porém com foco em aspectos de:
a) análise quantitativa de riscos de segurança da informação;
b) metodologia de execução de uma análise/avaliação de riscos durante a execução do SGSI;
c) métodos para retenção de riscos, após implantação de controles no SGSI;
d) redução de riscos na implantação do SGSI;
e) análise, tratamento e aceitação de riscos, relacionados à fase de planejamento do SGSI.
www.tecconcursos.com.br/questoes/77454
https://www.tecconcursos.com.br/questoes/77393
https://www.tecconcursos.com.br/questoes/77454
618) 
619) 
FEMPERJ - ACE (TCE RJ)/TCE RJ/Controle Externo/Tecnologia da Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A gestão de riscos envolve diversas atividades. Segundo a norma ISO 27005, faz parte da atividade
chamada análise/ avaliação de riscos:
a) a definição de contexto;
b) a estimativa de riscos;
c) o tratamento do risco;
d) a comunicação do risco;
e) a aceitação do risco.
www.tecconcursos.com.br/questoes/77455
FEMPERJ - ACE (TCE RJ)/TCE RJ/Controle Externo/Tecnologia da Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ISO 27005, a retenção de riscos:
a) analisa apenas atos intencionais que possam produzir violações de segurança;
b) trata apenas fragilidades em ativos de informação, as chamadas ameaças;
c) considera somente consequências negativas (perdas);
d) procura eliminar uma atividade ou processo através da mudança na forma de sua ocorrência;
e) compara o risco estimado com critérios de risco predefinidos para determinar a sua importância.
https://www.tecconcursos.com.br/questoes/77455
620) 
621) 
www.tecconcursos.com.br/questoes/80635
CEBRASPE (CESPE) - AJ TRE RJ/TRE RJ/Apoio Especializado/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de riscos, julgue o próximo item.
São consideradas entradas para o processo de análise/avaliação de riscos de segurança da informação os
critérios básicos, o escopo, os limites e a organização do processo de gestão de riscos de segurança da
informação.
Certo
Errado
www.tecconcursos.com.br/questoes/80636
CEBRASPE (CESPE) - AJ TRE RJ/TRE RJ/Apoio Especializado/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de riscos, julgue o próximo item.
São opções para tratamento do risco: reduzi-lo, aceitá-lo, evitá-lo ou transferi-lo.
Certo
Errado
www.tecconcursos.com.br/questoes/90287
FCC - AJ TST/TST/Apoio Especializado/Tecnologia da Informação/2012
https://www.tecconcursos.com.br/questoes/80635
https://www.tecconcursos.com.br/questoes/80636
https://www.tecconcursos.com.br/questoes/90287
622) 
623) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a TI, as empresas devem ter constante preocupação com os riscos, que se
concretizados, podem vir a prejudicar suas atividades. Dessa forma, a gestão de riscos é uma atividade
de grande importância na condução dos negócios de uma empresa. Na maioria dos casos, a primeira
etapa a ser realizada na gestão de riscos é a identificação dos riscos, que consiste em
a) elaborar os planos de contingência, cujo objetivo é obter um controle preciso dos riscos presentes.
b) minimizar os problemas que possam surgir, eventualmente, em função dos riscos existentes.
c) registrar todas as ações tomadas no decorrer da concretização de um risco de forma a evitar
problemas semelhantes no futuro.
d) detectar os perigos potenciais que possam vir a prejudicar as operações da empresa, como, a
execução de um projeto de TI.
e) elaborar as medidas mais adequadas a serem tomadas quando da concretização de um risco,
dentro do plano de contingência.
www.tecconcursos.com.br/questoes/143971
CEBRASPE (CESPE) - ACE (TCE ES)/TCE ES/Tecnologia da Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos e da continuidade de negócio, julgue o item subsequente, com base no
que dispõem as normas NBR ISO/IEC 15999 e 27005.
 
A contratação de seguro para uma atividade/produto pode representar uma das formas elementares de
se transferirem riscos relacionados à atividade/produto assegurados.
https://www.tecconcursos.com.br/questoes/143971
624) 
625) 
Certo
Errado
www.tecconcursos.com.br/questoes/143972
CEBRASPE (CESPE) - ACE (TCE ES)/TCE ES/Tecnologia da Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos e da continuidade de negócio, julgue o item subsequente, com base no
que dispõem as normas NBR ISO/IEC 15999 e 27005.
 
A retenção de riscos compreende medidas realizadas para evitar a ocorrência de determinada condição
que leve ao risco.
Certo
Errado
www.tecconcursos.com.br/questoes/222236
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A política de proteção da informação espelha as decisões da empresa com respeito à manipulação
e à proteção da informação.
 
Um dos pontos chaves dessa política é que
a) a proteção está limitada à área de tecnologia da informação (TI).
https://www.tecconcursos.com.br/questoes/143972
https://www.tecconcursos.com.br/questoes/222236
626) 
b) a empresa deve declarar que a informação é um ativo da empresa e é propriedade da
organização.
c) o processo de classificação da informação é um processo técnico que dispensa o papel ativo do
setor gerencial da empresa.
d) um processo ou sistema específico deve ser interrompido diante de um risco residual conhecido.
e) as reavaliações periódicas da política devem ser evitadas para impedir a distorção das decisões
originalmente tomadas pela empresa.
www.tecconcursos.com.br/questoes/401030
AOCP - Aud CE (TCE-PA)/TCE PA/Informática/Analista de Segurança/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma técnica NBR 27005 trata
a) da gestão de riscos de segurança da Informação.
b) das normas do código de práticas para a gestão da Tecnologia deInformação.
c) dos requisitos de sistemas de gestão de segurança da informação.
d) da especificação do gerenciamento de serviços.
e) do código de prática do gerenciamento de serviços.
www.tecconcursos.com.br/questoes/550957
CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/401030
https://www.tecconcursos.com.br/questoes/550957
627) 
628) 
A respeito de plano de continuidade de negócios, planejamento do sistema de gestão de riscos,
processo de gestão de risco e etapa de identificação de controles, julgue o seguinte item.
 
A identificação do ativo, que representa elemento com valor para o empreendimento que necessita de
proteção, é uma etapa fundamental ao processo de gestão de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/550959
CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-
1:2007 (versão corrigida 2008) e 27.005:2005, julgue o item subsequente.
 
No âmbito da gestão de riscos, a estimativa de riscos atribui valores à probabilidade e às consequências
de um risco.
Certo
Errado
www.tecconcursos.com.br/questoes/550960
CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/550959
https://www.tecconcursos.com.br/questoes/550960
629) 
630) 
Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-
1:2007 (versão corrigida 2008) e 27.005:2005, julgue o item subsequente.
 
As consequências de riscos na saúde ou na vida dos envolvidos estão excluídas das referidas normas, já
que envolvem processos afetos ao Ministério da Saúde e ao Ministério do Trabalho e Emprego acerca da
segurança e do bem-estar no ambiente de trabalho.
Certo
Errado
www.tecconcursos.com.br/questoes/550961
CEBRASPE (CESPE) - AJ (TJ AC)/TJ AC/Técnico-Administrativa/Analista de Suporte/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com fundamento nas definições da gestão de riscos segundo as normas NBR ISO/IEC 15.999-
1:2007 (versão corrigida 2008) e 27.005:2005, julgue o item subsequente.
 
Segundo a gestão de riscos, entende-se que vulnerabilidade é o evento ou incidente, ao passo que
ameaça é a fragilidade que será explorada para que a vulnerabilidade se torne concreta.
Certo
Errado
www.tecconcursos.com.br/questoes/560044
CEBRASPE (CESPE) - AJ (TJ AL)/TJ AL/Apoio Especializado/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/550961
https://www.tecconcursos.com.br/questoes/560044
631) 
632) 
De acordo com a NBR ISO/IEC n.º 27.005/2011, as quatro possíveis ações para o tratamento do
risco de segurança da informação correspondem a
a) planejamento, identificação, mitigação e eliminação do risco.
b) redução, retenção, prevenção e transferência do risco.
c) identificação, redução, mitigação e eliminação do risco.
d) retenção, redução, mitigação e transferência do risco.
e) prevenção, identificação, redução e eliminação do risco.
www.tecconcursos.com.br/questoes/611032
CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item.
 
A avaliação de riscos, por ser base para a tomada de decisões referentes à retenção de risco, é uma
atividade-chave.
Certo
Errado
www.tecconcursos.com.br/questoes/611036
CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/611032
https://www.tecconcursos.com.br/questoes/611036
633) 
634) 
635) 
A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item.
 
Um exemplo de aceitação de risco consiste na contratação de seguro para cobrir eventuais perdas ou
danos.
Certo
Errado
www.tecconcursos.com.br/questoes/611039
CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item.
 
A realização de uma mudança em um processo, como a troca de aquecedores a óleo combustível por
equivalentes alimentados por eletricidade, representa tanto eliminação de risco do vazamento ou
derramamento de óleo quanto redução de risco de incêndio.
Certo
Errado
www.tecconcursos.com.br/questoes/611043
CEBRASPE (CESPE) - Per Crim (PEFOCE)/PEFOCE/Análise de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de risco e das normas NBR ISO/IEC 15.999 e 27.005, julgue o próximo item.
https://www.tecconcursos.com.br/questoes/611039
https://www.tecconcursos.com.br/questoes/611043
636) 
 
Quando uma organização opta por se expor, até o máximo de risco, para conseguir atingir seus objetivos,
esse risco é denominado risco aceitável.
Certo
Errado
www.tecconcursos.com.br/questoes/836568
FADESP - Tec (MPE PA)/MPE PA/Analista de Sistemas/Modelagem de Sistemas/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Dada a amplitude e a complexidade do papel de Segurança da Informação, dispõem-se os desafios
em um modelo conceitual em camadas ou fases, particionando o trabalho, para tornar mais claro o
entendimento de cada camada. Essas camadas constituem as chamadas barreiras de segurança.
A última barreira de segurança do modelo conceitual encarregada da análise de riscos (em que são
considerados aspectos tecnológicos, físicos e humanos e as necessidades específicas dos processos de
negócios da empresa) é
a) desencorajar as ameaças aos ativos da empresa.
b) diagnosticar os riscos que as ameaças representam para os ativos da empresa.
c) dificultar o acesso indevido aos ativos da empresa.
d) deter a ameaça para que não atinja os ativos da empresa.
www.tecconcursos.com.br/questoes/836663
https://www.tecconcursos.com.br/questoes/836568
https://www.tecconcursos.com.br/questoes/836663
637) 
FADESP - Tec (MPE PA)/MPE PA/Analista de Sistemas/Suporte a Rede de
Computadores/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando os padrões da família ISO (International Organization for Standardization) / IEC
(International Electrotechnical Commision) e as normas da ABNT (Associação Brasileira de Normas
Técnicas), analise as afirmações a seguir.
I. O padrão ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar,
revisar, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação). Esse padrão
serve para fins de certificação da organização.
II. O padrão ISO/IEC 27002 apresenta o código de melhores práticas para a Gestão de Segurança
da Informação.
III. O padrão ISO/IEC 27005 fornece diretrizes para o gerenciamento de riscos de segurança da
informação.
IV. A ABNT estabeleceu a norma NBR ISO/IEC 27001, que segue o padrão ISO/IEC 27001.
Quantas dessas afirmações estão corretas?
a) 1.
b) 2.
c) 3.
d) 4.
638) 
639) 
www.tecconcursos.com.br/questoes/1316272
CEBRASPE (CESPE) - Tec Cien (BASA)/BASA/Tecnologia da Informação/Segurança da
Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordocom a NBR ISO/IEC 27005, julgue o próximo item.
 
A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer,
necessariamente, a implementação de controle apropriado.
Certo
Errado
www.tecconcursos.com.br/questoes/1316279
CEBRASPE (CESPE) - Tec Cien (BASA)/BASA/Tecnologia da Informação/Segurança da
Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a NBR ISO/IEC 27005, julgue o próximo item.
 
Define-se evento como a combinação das consequências advindas da ocorrência de uma situação
indesejada com a probabilidade de essa situação ocorrer.
Certo
Errado
https://www.tecconcursos.com.br/questoes/1316272
https://www.tecconcursos.com.br/questoes/1316279
640) 
641) 
www.tecconcursos.com.br/questoes/1316280
CEBRASPE (CESPE) - Tec Cien (BASA)/BASA/Tecnologia da Informação/Segurança da
Informação/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a NBR ISO/IEC 27005, julgue o próximo item.
 
A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles
existentes são fatores constantemente ignorados pelos gestores de segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/108826
CEBRASPE (CESPE) - AA (PREVIC)/PREVIC/Tecnologia da Informação/2011
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com as normas NBR/ISO/IEC 15999 e 27005, julgue o próximo item.
De acordo com a norma NBR/ISO/IEC 27005, a comunicação de riscos visa assegurar que as informações
sobre os riscos sejam compartilhadas entre os tomadores de decisão e outros stakeholders, buscando-se,
assim, alcançar um entendimento de todos sobre como os riscos serão gerenciados.
Certo
Errado
https://www.tecconcursos.com.br/questoes/1316280
https://www.tecconcursos.com.br/questoes/108826
642) 
643) 
www.tecconcursos.com.br/questoes/108830
CEBRASPE (CESPE) - AA (PREVIC)/PREVIC/Tecnologia da Informação/2011
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito de planejamento, identificação e análise de riscos, julgue o item subsecutivo.
A transferência de riscos envolve a decisão de transferir o ônus de determinados riscos para terceiros,
deixando a cargo destes a atividade de monitoração dos riscos transferidos.
Certo
Errado
www.tecconcursos.com.br/questoes/1160440
CEBRASPE (CESPE) - Ana Leg (ALECE)/ALECE/Informática/2011
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de riscos, julgue o item subsequente.
 
De acordo com a norma ISO 27005, a análise de risco trata, entre outros aspectos, da identificação de
vulnerabilidades e da implementação de controles para todas as vulnerabilidades encontradas.
Certo
Errado
www.tecconcursos.com.br/questoes/40021
ESAF - APO (MPO)/MPO/Tecnologia da Informação/"Sem Especialidade"/2010
https://www.tecconcursos.com.br/questoes/108830
https://www.tecconcursos.com.br/questoes/1160440
https://www.tecconcursos.com.br/questoes/40021
644) 
645) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
O Fluxo de Análise das ameaças e riscos, na ordem apresentada, consiste de
a) diversificação das ameaças, minimização das probabilidades dos riscos, redução dos pesos dos
riscos, controle do risco, eliminação dos riscos prioritários, adoção de medidas de proteção lógica.
b) determinação das probabilidades dos riscos, quantificação dos riscos, avaliação do risco, proteção
de ativos, eliminação dos riscos.
c) restrição das ameaças, planejamento das probabilidades dos riscos, determinação da hierarquia
dos riscos, aquisição de software, estabelecimento de propriedades, redimensionamento.
d) identificação das medidas de proteção, determinação das probabilidades de ameaças,
determinação das prioridades dos pesos dos riscos, vinculação de ameaças a riscos, realocação de
pessoal.
e) identificação das ameaças, determinação das probabilidades dos riscos, determinação dos pesos
dos riscos, avaliação do risco, estabelecimento de prioridades de proteção, adoção de medidas de
proteção.
www.tecconcursos.com.br/questoes/48313
CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da
Informação/2010
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item subsequente, relativo às Normas NBR ISO/IEC 15999 e 27005.
https://www.tecconcursos.com.br/questoes/48313
646) 
A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando-
se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação,
comunicação, monitoramento e análise crítica dos incidentes.
Certo
Errado
www.tecconcursos.com.br/questoes/149794
CEBRASPE (CESPE) - AA (ANEEL)/ANEEL/Área 3/2010
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que
possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR
15999.
 
Toda informação sobre ativos, ameaças, vulnerabilidades e cenários de risco levantada durante as
análises/avaliações de risco deve ser comunicada por meio de uma wiki web acessível no escopo da
intranet na organização.
Certo
Errado
www.tecconcursos.com.br/questoes/149798
CEBRASPE (CESPE) - AA (ANEEL)/ANEEL/Área 3/2010
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/149794
https://www.tecconcursos.com.br/questoes/149798
647) 
648) 
Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que
possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR
15999.
 
Um dos resultados da avaliação de riscos é a produção de uma declaração de atividades críticas.
Certo
Errado
www.tecconcursos.com.br/questoes/580911
CEBRASPE (CESPE) - AJ TRT21/TRT 21/Apoio Especializado/Tecnologia da Informação/2010
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com referência às normas NBR ISO/IEC 15999 e 27005 e a respeito de gestão de riscos, julgue o
item a seguir.
 
Os processos que fazem parte da análise/avaliação de riscos são identificação de riscos, estimativa de
riscos e avaliação de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/6381
CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da
Informação/2009
https://www.tecconcursos.com.br/questoes/580911
https://www.tecconcursos.com.br/questoes/6381
649) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão
de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue o próximo item.
Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos
quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a
oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos,
sobretudo quando os ativos no escopo apresentam elevada intangibilidade.
Certo
Errado
www.tecconcursos.com.br/questoes/6383
https://www.tecconcursos.com.br/questoes/6383
650) 
CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da
Informação/2009
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão
de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue o próximo item.
A altagestão da organização em escopo exerce maior influência sobre o ponto de decisão 1 que sobre o
ponto de decisão 2, bem como contribui ativamente para prover informações quanto às fases de
identificação de riscos, de definição do contexto e de análise crítica de riscos.
Certo
Errado
651) 
www.tecconcursos.com.br/questoes/6384
CEBRASPE (CESPE) - AUFC (TCU)/TCU/Apoio Técnico e Administrativo/Tecnologia da
Informação/2009
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR
ISO/IEC 27001, julgue o item.
No modelo em apreço, o subsistema de planejamento do SGSI possui sobreposição de atividades com a
fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005 bem como produz uma
informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT
NBR ISO/IEC 27005.
Certo
Errado
www.tecconcursos.com.br/questoes/2682207
CESGRANRIO - Ana Sis (TERMOAÇU)/TERMOAÇU/2008
https://www.tecconcursos.com.br/questoes/6384
https://www.tecconcursos.com.br/questoes/2682207
652) 
653) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em Segurança da Informação, uma distinção entre análise de risco - AR e gerência de risco – GR é
que na
a) AR é estabelecida uma política de gerência de risco, na GR são estabelecidos critérios de aceitação
do risco.
b) AR são definidas a metodologia e as ferramentas para a análise, na GR são estabelecidos critérios
de aceitação do Risco.
c) AR é escolhida a equipe de segurança e na GR a equipe estabelece as ferramentas de análise.
d) AR é definido o escopo do projeto, na GR é estabelecida a equipe de segurança.
e) GR é feita a identificação e avaliação dos ativos e na AR é estabelecida uma Política de Gerência
de Risco.
www.tecconcursos.com.br/questoes/2322688
Instituto Consulplan - Ana MP (MPE MG)/MPE MG/Tecnologia da Informação/Segurança de
TI/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Gerenciamento de riscos é o processo de planejar, organizar, conduzir e controlar as atividades de
uma organização visando minimizar os efeitos do risco sobre o capital e o lucro de uma organização.
Riscos podem surgir da incerteza do mercado financeiro, de falhas de projeto, de responsabilidades
legais, de risco de crédito, de acidentes, de causas naturais e desastres, bem como de ataques
deliberados de adversários.
 
(HINTZBERGEN, J.; HINTZBERGEN, K.; SMULDERS, A.; BAARS, H. Fundamentos de Segurança da Informação: com
base na ISO 27001 e na ISO 27002. Brasport, 2018.)
https://www.tecconcursos.com.br/questoes/2322688
654) 
 
De acordo com os conceitos relacionados à identificação, análise e tratamento de riscos,
assim como o seu gerenciamento, assinale a afirmativa INCORRETA.
a) Quando riscos são identificados, após a sua avaliação, uma decisão de tratamento deve ser
tomada para cada um dos riscos.
b) Em grandes organizações, ISO ou CISO são pessoas responsáveis pelo processo de
gerenciamento de risco, sendo considerado um processo contínuo.
c) É possível realizar uma análise de riscos puramente quantitativa com o objetivo de calcular, com
base no impacto do risco, o nível do prejuízo financeiro e a probabilidade de uma ameaça se tornar
um incidente.
d) A avaliação do risco deve incluir uma abordagem sistemática para estimar a magnitude dos riscos
(análise do risco) e o processo de comparar o risco estimado em relação a um critério, a fim de
determinar a importância do risco (estimativa do risco).
www.tecconcursos.com.br/questoes/2338867
CEBRASPE (CESPE) - Per Crim (POLC AL)/POLC AL/Análise de Sistemas, Ciências da
Computação, Informática. Processamento de Dados ou Sistemas da Informação/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue
o próximo item.
 
A análise qualitativa de riscos utiliza a valoração financeira dos ativos, para gerar a escala de
probabilidade de ocorrência de determinado risco.
Certo
Errado
https://www.tecconcursos.com.br/questoes/2338867
655) 
656) 
www.tecconcursos.com.br/questoes/2338872
CEBRASPE (CESPE) - Per Crim (POLC AL)/POLC AL/Análise de Sistemas, Ciências da
Computação, Informática. Processamento de Dados ou Sistemas da Informação/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Acerca de segurança da informação e com base nas normas da ABNT aplicáveis à temática, julgue
o próximo item.
 
No contexto da prevenção de incidentes relacionados a vulnerabilidades e ataques a sistemas
computacionais, é na etapa de avaliação de riscos que são tomadas as decisões para gerenciamento do
risco, mediante controles de prevenção e detecção.
Certo
Errado
www.tecconcursos.com.br/questoes/2367789
COCP IFMT - Tec Lab (IF MT)/IF MT/Informática/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
As sentenças abaixo são inspiradas no texto de Ramos (2006) sobre Segurança da Informação:
 
I. Evento que tem potencial em si próprio para comprometer os objetivos da organização e pode
trazer danos diretos aos ativos, ou prejuízos decorrentes de situações inesperadas.
 
II. Ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existentes.
 
https://www.tecconcursos.com.br/questoes/2338872
https://www.tecconcursos.com.br/questoes/2367789
657) 
III. Medida indicativa de probabilidade de uma ocorrência que possa comprometer os objetivos da
organização, combinada com os impactos que ela trará.
 
Fonte: (RAMOS, Anderson. Security Officer - 1: guia oficial para formação de gestores em segurança da informação.
Porto Alegre: Zouk, 2006.)
 
Tais sentenças descrevem, respectivamente, as definições de:
a) Ameaça, Vulnerabilidade e Risco.
b) Vulnerabilidade, Ameaça e Impacto.
c) Ameaça, Risco e Prejuízo.
d) Impacto, Ameaça e Prejuízo.
e) Risco, Vulnerabilidade e Impacto.
www.tecconcursos.com.br/questoes/2460914
FGV - AJ (TJ RN)/TJ RN/Apoio Especializado/Análise de Sistemas/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
O COLABORA é um sistema que apoia atividades da gestão de recursos humanos de uma empresa
e, por isso, mantém alguns dados sensíveis sobre pessoas. O COLABORA faz uso do módulo pgcrypto do
PostgreSQL para criptografar colunas que armazenam os dados sensíveis.
 
Com base no OWASP Top Tem, a solução de criptografia adotada pelo COLABORA apresenta uma
vulnerabilidade categorizada como:
a) A01:2021 – Data Exposure;
b) A02:2021 – Cryptographic Failures;
c) A03:2021 – Broken or Risky Crypto Algorithm;
https://www.tecconcursos.com.br/questoes/2460914
658) 
659) 
d) A05:2021 – Security Misconfiguration;
e) A08:2021 – Software and Data Integrity Failures.
www.tecconcursos.com.br/questoes/2509511
Instituto AOCP - Ana (MPE MS)/MPE MS/Informação e Tecnologia/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Um relatório de vulnerabilidades identificou uma CVE classificada com criticidade alta. De acordo
com a pontuação estabelecida pelo CVSS v3.0, qual seria a faixa de valor atribuído a esse nível de
criticidade?
a) Entre 4.0 e 4.9.
b) Entre 5.0 e 6.9.
c) Entre 7.0 e 8.9.
d) Entre 9.0 e 9.5.
e) Entre 9.6 e 100.
www.tecconcursos.com.br/questoes/2581014
Instituto Verbena - Tecnl (UFG)/UFG/Segurança Institucional/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Como se chama um possível evento que pode ter um efeito prejudicial sobre a confiabilidade da
informação levando em consideração os perigos ao qual está exposto?
a) Vulnerabilidade.
b) Dependência.
c) Ameaça.
https://www.tecconcursos.com.br/questoes/2509511
https://www.tecconcursos.com.br/questoes/2581014
660) 
661) 
d) Risco.
www.tecconcursos.com.br/questoes/2632924
VUNESP - ATI (UFABC)/UFABC/2023
TI - Segurança da Informação - Conceitos de Riscos e OutrasNormas
Algumas políticas de senhas requerem que os usuários alterem sua senha periodicamente, por
exemplo, a cada 90 dias. Uma desvantagem dessa prática é que
a) a troca de uma senha em um banco de dados de uma aplicação consome muitos recursos
computacionais devido ao cálculo de seu hash.
b) ela encoraja o usuário a anotar a nova senha em papéis ou notas do tipo post-it, podendo deixá-la
exposta.
c) ela não é compatível com o uso de autenticação por múltiplos fatores.
d) ela impõe que a senha seja armazenada no banco de dados da aplicação em texto claro, sem uso
de hash ou encriptação.
e) ela não é compatível com a imposição de um número mínimo de caracteres na senha, o que
poderia garantir um certo nível de segurança.
www.tecconcursos.com.br/questoes/2642013
CEBRASPE (CESPE) - Ana TI (DATAPREV)/DATAPREV/Segurança Cibernética/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
A respeito de proteção contra softwares maliciosos, sistemas de detecção de intrusão, segurança
de servidores e sistemas operacionais, certificação digital, assinatura digital e gestão de riscos, julgue o
item a seguir.
 
https://www.tecconcursos.com.br/questoes/2632924
https://www.tecconcursos.com.br/questoes/2642013
662) 
663) 
Gerenciamento de riscos é um processo contínuo que se aplica a todas as fases operacionais em que
consequências de um risco específico são aceitas.
Certo
Errado
www.tecconcursos.com.br/questoes/2642017
CEBRASPE (CESPE) - Ana TI (DATAPREV)/DATAPREV/Segurança Cibernética/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, julgue o item a seguir.
 
Na avaliação de desempenho, em desempenho deficitário, não devem ser incluídos não conformidades,
quase acidentes e alarmes falsos.
Certo
Errado
www.tecconcursos.com.br/questoes/2695482
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Na NBR ISO 29134:2020, é recomendada a elaboração de um instrumento para avaliar os
potenciais impactos de um processo, de um sistema de informação, de um programa, de um módulo de
software, de um dispositivo ou de outra iniciativa que trate dados pessoais na privacidade. Além disso, é
recomendada, também, a consulta às partes interessadas, para tomar ações necessárias para tratar os
riscos à privacidade. A partir desse instrumento, é possível elaborar um relatório incluindo uma
https://www.tecconcursos.com.br/questoes/2642017
https://www.tecconcursos.com.br/questoes/2695482
664) 
documentação sobre medidas tomadas para o tratamento de riscos. De acordo com essa norma, esse
relatório é o de
a) DP
b) PIA
c) P&D
d) R&D
e) SGSI
www.tecconcursos.com.br/questoes/1925952
CETREDE - Tec (UFC)/UFC/Tecnologia da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Marque a alternativa correta referente ao gerenciamento de riscos.
a) O objetivo central da segurança da informação é disseminar a informação e aumentar os riscos.
b) É possível reduzir todos os riscos a zero (eliminando-os), minimizando assim seus impactos.
c) O gerenciamento dos riscos está relacionado ao que é indesejável, ao que é factível e ao que é
economicamente inaceitável.
d) Gerenciamento de riscos é o processo pelo qual são identificados os riscos a que estão sujeitos os
dados, sistemas de informação e redes de comunicação que lhes dão suporte, realizando ações que
minimizem seus efeitos.
www.tecconcursos.com.br/questoes/1925954
CETREDE - Tec (UFC)/UFC/Tecnologia da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/1925952
https://www.tecconcursos.com.br/questoes/1925954
665) 
666) 
Marque a alternativa correta, de acordo com o Manual de Gestão de Riscos do Tribunal de Contas
da União (TCU), 2ª edição.
a) O estabelecimento do contexto busca identificar contingências a serem consideradas no processo
de gestão de riscos.
b) A análise do risco não contempla a compreensão sobre o risco e a determinação do nível do risco.
c) A autoridade e responsabilidade do gestor de risco para gerenciar um risco são inexistentes.
d) Tratamento de riscos compreende o planejamento e a realização de ações para modificar o nível
do risco, por meio de medidas de resposta ao risco que mitiguem, transfiram ou evitem esses riscos.
www.tecconcursos.com.br/questoes/1970862
CEBRASPE (CESPE) - AAAJ (DP DF)/DP DF/Informática Desenvolvimento de Sistemas/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Julgue o próximo item, a respeito da conformidade e gestão de riscos.
 
O risco é o efeito da incerteza sobre os objetivos, muitas vezes identificado a partir a análise da
probabilidade e do impacto de um evento ocorrer.
Certo
Errado
www.tecconcursos.com.br/questoes/1972741
CEBRASPE (CESPE) - Esp GT (TELEBRAS)/TELEBRAS/Analista de Tecnologia da
Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/1970862
https://www.tecconcursos.com.br/questoes/1972741
667) 
668) 
Acerca de aspectos diversos pertinentes a objetos de avaliação associados a segurança da
informação, julgue o item seguinte.
 
Tendo em vista que organizações de telecomunicações enfrentam influências e fatores externos e
internos que tornam incerto o alcance de seus objetivos, e que a estrutura e o processo de gestão de
riscos devem ser personalizados e proporcionais aos contextos externo e interno dessas organizações,
bem como aos seus objetivos, é correto afirmar que, em uma organização de telecomunicação, um
modelo de gestão de riscos deverá ser adotado quando houver necessidade de implementar controles
não previstos nos projetos. Nesse sentido, deve-se considerar que, para ocorrer, o risco tem de ser
conhecido ou já haver sido tratado mediante a adoção de controles internos simples ou complexos.
Certo
Errado
www.tecconcursos.com.br/questoes/2013531
CEBRASPE (CESPE) - ACE (TCE RJ)/TCE RJ/Organizacional/Tecnologia da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Julgue o item a seguir, quanto às ferramentas e técnicas de exploração de vulnerabilidades em
aplicativos web, à Open Web Application Security Project (OWASP) e às ameaças e vulnerabilidades em
aplicações web.
 
Classificação de Risco para o Top 10 é uma metodologia baseada na OWASP Risk Rating Methodology e
consiste em estimar, para cada categoria do Top 10, o risco peculiar que cada falha introduz em uma
aplicação web típica e, posteriormente, ordenar o Top 10 de acordo com as falhas que tipicamente
introduzem o risco mais significativo para uma aplicação.
Certo
Errado
https://www.tecconcursos.com.br/questoes/2013531
669) 
670) 
www.tecconcursos.com.br/questoes/2036104
CEBRASPE (CESPE) - Tec (FUB)/FUB/Tecnologia da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Julgue o item subsecutivo, relativos a gerenciamento de riscos de TI.
 
O propósito da identificação de riscos é compreender a natureza do risco e suas características, e envolve
a consideração detalhada de incertezas, fontes, consequências, probabilidade, eventos, cenários,
controles e a eficácia da identificação.
Certo
Errado
www.tecconcursos.com.br/questoes/2065564
FGV - ES (SEMSA Manaus)/Pref Manaus/Analista de Suporte de Tecnologia da
Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Durante um processo de análise de risco, uma organização detectou que o uso de laptops fora da
organização trazia um risco inaceitável de acesso não autorizado a sistemas internos. Por esse motivo,
resolveu adotar uma ação de evitar esse risco. Para isso, a organização decidiu
a) implementar uma autenticação de dois fatores nos laptops.
b) distribuir laptops apenas para diretoria executiva.
c) contratar um seguro para o caso de furto/roubodos laptops.
https://www.tecconcursos.com.br/questoes/2036104
https://www.tecconcursos.com.br/questoes/2065564
671) 
d) Só permitir o uso de laptops fora da organização com criptografia de disco e uso de VPN.
e) proibir o uso dos laptops fora da organização.
www.tecconcursos.com.br/questoes/2150280
IDECAN - Ana (UNILAB)/UNILAB/Tecnologia da Informação/Infraestrutura e Tecnologia da
Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Segundo a Norma ISO 27002, “para cada um dos riscos identificados, seguindo a análise/avaliação
de riscos, uma decisão sobre o tratamento do risco precisa ser tomada. Possíveis opções para o
tratamento do risco, incluem”
 
I. aplicar controles apropriados para reduzir os riscos.
 
II. conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente à política da
organização e aos critérios para a aceitação de risco.
 
III. conhecer os riscos, permitindo ações que possam causar a ocorrência de riscos.
 
IV. transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
 
Assinale
a) se somente os itens II e III estiverem corretos.
b) se somente os itens I e III estiverem corretos.
c) se somente os itens I, II e IV estiverem corretos.
d) se todos os itens estiverem corretos.
https://www.tecconcursos.com.br/questoes/2150280
672) 
673) 
www.tecconcursos.com.br/questoes/2157912
CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou
Engenharia/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Acerca da gestão dos riscos de segurança da informação, julgue o item que se segue.
 
O tratamento do risco limita-se a reduzir os riscos e definir o plano de tratamento do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/2157916
CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou
Engenharia/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Julgue o seguinte item, a respeito de segurança da informação.
 
Tecnologias, processos e pessoas são os níveis considerados para a implementação da gestão de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/2165810
https://www.tecconcursos.com.br/questoes/2157912
https://www.tecconcursos.com.br/questoes/2157916
https://www.tecconcursos.com.br/questoes/2165810
674) 
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Para uma efetiva gestão de riscos, é preciso, inicialmente, fazer o levantamento das ameaças e
seus impactos, da probabilidade de concretização das ameaças e dos riscos potenciais. Para a
implementação da gestão de riscos, devem ser considerados três níveis, cujas respectivas finalidades são
 
I garantir a adequação técnica necessária ao tratamento adequado dos riscos;
 
II assegurar que as atividades que compreendem a gestão de riscos sejam consideradas de forma
sistemática; e
 
III permitir que os funcionários e dirigentes identifiquem suas responsabilidades, conheçam os
riscos e possam ajudar a reduzi-los e controlá-los.
 
No texto precedente, os itens I, II e III apresentam as funções, respectivamente, dos níveis
a) ativos, ameaças e impactos.
b) hardwares, softwares e dados.
c) tecnologias, processos e pessoas.
d) de importância, grau de severidade das perdas e custos envolvidos.
www.tecconcursos.com.br/questoes/2165813
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/2165813
675) 
676) 
Assinale a opção que corresponde ao processo de identificação, classificação e tratamento das
vulnerabilidades, em que o tratamento consiste ou na correção da vulnerabilidade e aplicação de
controles para minimizar a probabilidade de exploração ou o impacto, ou na aceitação do risco.
a) gestão de vulnerabilidades
b) gestão de incidentes de segurança da informação
c) scanner de vulnerabilidades
d) auditoria de sistemas de informação
www.tecconcursos.com.br/questoes/2165818
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
No tratamento de riscos, as medidas de segurança são classificadas em
a) corretivas e preventivas, apenas.
b) preventivas, orientativas e informativas.
c) orientativas e informativas, apenas.
d) corretivas, preventivas e orientativas.
www.tecconcursos.com.br/questoes/2165833
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/2165818
https://www.tecconcursos.com.br/questoes/2165833
677) 
678) 
Em relação a controles de segurança em uma organização, assinale o requisito aderente a uma
arquitetura de zero trust.
a) Os acessos concedidos devem ser registrados e revisados em intervalo mínimo de seis meses.
b) As comunicações de maior criticidade devem ser identificadas, para que seja implementada a
proteção na comunicação exclusivamente dessa rede objetivando melhor eficiência.
c) Os acessos a recursos empresariais individuais devem ser feitos com o mínimo de privilégios e
concedidos por sessão.
d) Os privilégios de acesso a recursos podem ser feitos com base em modelos previamente definidos
ou replicados das permissões de outros usuários já existentes.
www.tecconcursos.com.br/questoes/2216465
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Desenvolvimento de Sistemas/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Considere que uma fragilidade descoberta por um fabricante de tecnologia da informação tenha
sido conhecida e informada aos seus clientes. Acerca dessa situação hipotética e da gerência de riscos,
julgue o item subsequente.
Na situação hipotética apresentada, os fabricantes e os clientes são considerados partes interessadas.
Certo
Errado
www.tecconcursos.com.br/questoes/2216467
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Desenvolvimento de Sistemas/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/2216465
https://www.tecconcursos.com.br/questoes/2216467
679) 
680) 
Considere que uma fragilidade descoberta por um fabricante de tecnologia da informação tenha
sido conhecida e informada aos seus clientes. Acerca dessa situação hipotética e da gerência de riscos,
julgue o item subsequente.
Uma ameaça conhecida e amplamente divulgada é considerada uma avaliação de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/2216468
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Desenvolvimento de Sistemas/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Considere que uma fragilidade descoberta por um fabricante de tecnologia da informação tenha
sido conhecida e informada aos seus clientes. Acerca dessa situação hipotética e da gerência de riscos,
julgue o item subsequente.
Constitui exemplo de critério de risco o fato de um fabricante de determinada tecnologia da informação
desenvolver uma correção para eliminar a possibilidade de impacto de uma fragilidade informada
previamente aos seus clientes.
Certo
Errado
www.tecconcursos.com.br/questoes/2267286
FCM - CEFETMINAS - PEBTT (IF AM)/IF AM/Informática/2022
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/2216468
https://www.tecconcursos.com.br/questoes/2267286
681) 
682) 
O risco à segurança da informação está associado ao potencial de ameaças explorarem
vulnerabilidades de um ativo e, desse modo, causarem danos a uma organização.
 
Avalie as afirmações sobre ativos.I - Podem incluir informações na forma de documentos, base de dados, contratos, documentação de
sistemas, procedimentos, manuais, logs de sistemas, planos e guias.
 
II - Podem incluir programas de computador, tais como programas do sistema, programas do
usuário e programas de desenvolvimento.
 
III - Podem incluir mídias como CD-ROMs, pen drives, HDs externos etc..
 
IV- Podem incluir pessoas, habilidades, experiência e coisas intangíveis.
 
Está correto apenas o que se afirma em
a) II.
b) II e III.
c) I e IV.
d) I, II e III.
e) I, II, III e IV.
www.tecconcursos.com.br/questoes/1628752
CEBRASPE (CESPE) - Ana (SERPRO)/SERPRO/Desenvolvimento de Sistemas/2021
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
No que se refere a autenticação e riscos de segurança, julgue o item a seguir.
https://www.tecconcursos.com.br/questoes/1628752
683) 
684) 
 
Quanto aos riscos de segurança derivados da exposição de dados sensíveis contidos na lista OWASP Top
10, é recomendável que o tráfego de dados confidenciais seja criptografado e que o seu armazenamento
interno seja feito sem criptografia, de modo a viabilizar as funções de auditoria dos sistemas.
Certo
Errado
www.tecconcursos.com.br/questoes/1704686
CEBRASPE (CESPE) - AJ (PGDF)/PG DF/Analista de Sistema/Desenvolvimento de
Sistema/2021
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item
a seguir.
 
As expectativas e percepções das partes interessadas, a imagem e a reputação da organização devem
ser consideradas no desenvolvimento dos critérios de avaliação dos riscos de segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/1738903
CEBRASPE (CESPE) - Tec Ban III (BANESE)/BANESE/Informática/Desenvolvimento/2021
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
A respeito da criptografia, da NBR ISO/IEC n.º 27002:2013 e da ABNT NBR ISO/IEC n.º
27017:2016, julgue o item a seguir.
https://www.tecconcursos.com.br/questoes/1704686
https://www.tecconcursos.com.br/questoes/1738903
685) 
686) 
 
Implementando-se um conjunto adequado de controles, de forma coordenada e coerente com os riscos
associados a uma visão holística da organização, alcança-se a segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/1119686
CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Desenvolvimento/2020
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
O efeito da incerteza sobre os objetivos consiste em
a) ameaça.
b) vulnerabilidade.
c) consequência.
d) risco.
e) probabilidade.
www.tecconcursos.com.br/questoes/1119694
CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Desenvolvimento/2020
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Segundo a NBR ISO/IEC 27005, no processo de gestão de riscos da segurança da informação, a
definição dos critérios de avaliação de riscos é realizada na atividade
a) definição do contexto.
b) identificação de riscos.
https://www.tecconcursos.com.br/questoes/1119686
https://www.tecconcursos.com.br/questoes/1119694
687) 
688) 
c) análise de riscos.
d) avaliação de riscos.
e) tratamento do risco.
www.tecconcursos.com.br/questoes/1120348
CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Suporte/2020
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Em relação aos conceitos, processos e metodologias utilizadas na gestão de risco, é correto afirmar
que, para o cálculo de risco de
a) interrupção de energia de um datacenter, é indicada a análise quantitativa, que utiliza uma escala
de valores baseados em séries históricas.
b) interrupção de energia de um datacenter, é indicada a análise qualitativa, que utiliza uma escala
de valores baseados em séries históricas.
c) ataque cibernético, é indicada a análise quantitativa, que utiliza uma escala de valores baseados
em opiniões subjetivas das partes interessadas.
d) ataque cibernético, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em
séries históricas.
e) ataque cibernético, é indicada a análise qualitativa, que utiliza uma escala de valores baseados em
opiniões subjetivas das partes interessadas e em séries históricas.
www.tecconcursos.com.br/questoes/1120360
CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Suporte/2020
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Texto 4A04-III
https://www.tecconcursos.com.br/questoes/1120348
https://www.tecconcursos.com.br/questoes/1120360
Determinado tribunal atende atualmente 325 estruturas judiciárias, entre as quais, 112 comarcas,
promovendo acesso aos sistemas judiciários e salvaguarda dos processos digitais. Em razão da
importância regional do tribunal, foi implantada uma gestão de risco institucional, com o objetivo de
identificação, mensuração e tratamento do risco, com intuito de atender a população de forma
ininterrupta. Alinhado com o processo de risco, foi disparado o processo de continuidade de negócio,
tendo ficado a cargo do gestor da área de tecnologia da informação e comunicações (TIC) o plano de
recuperação de negócio. O datacenter do tribunal conta com sala cofre, nobreaks, geradores,
equipamentos de refrigeração e sistema de supressão de incêndio de alta disponibilidade. Estima-se em
torno 15 dias a recuperação do ambiente a partir do zero, o que significa reconfigurar todos os
servidores e posteriormente recuperar os becapes. A restauração dos serviços críticos para um ambiente
secundário, no qual já estejam configurados os servidores, mas necessitam de sincronização dos dados,
leva em torno de dois dias. O tempo total de recuperação de negócio dos serviços críticos de TIC do
tribunal não pode exceder três dias. Outro ponto de interesse é o cenário de restrição econômica do país,
refletido no tribunal.
 
A partir das informações apresentadas no texto 4A04-III, e após a análise de risco dos sítios principais
e redundantes, o gestor de TIC optou por colocar toda a infraestrutura na nuvem, tendo estabelecido
níveis de acordos de serviços rígidos e com redundância. Nesse caso, com relação ao risco associado à
disponibilidade e à recuperação dos serviços críticos de TIC, o tratamento adotado foi
a) aceitar.
b) evitar.
c) transferir.
d) explorar.
e) mitigar.
689) 
www.tecconcursos.com.br/questoes/877696
FCC - Aud Fisc (SEFAZ BA)/SEFAZ BA/Tecnologia da Informação/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Suponha que uma Auditora Fiscal da área de TI da SEFAZ-BA faz parte da equipe de Gestão de
Riscos de Segurança da Informação. Para que possa haver eficácia na descoberta das consequências
para os ativos e dos possíveis impactos sobre os negócios da organização, a Auditora procedeu a uma
atividade que teve como um dos resultados a lista a seguir:
 
− um Auditor Tributário não estava usando crachá;
− o firewall não estava bloqueando a porta 1521 na máquina da sala de reuniões 2;
− um curto-circuito ocorreu no estabilizador naquela tarde;
− fazia 2 meses que o backup do banco de dados SEFAZ3 não era realizado;
− a chave da sala de servidores havia sumido;
− faltou energia na sala da cobertura do prédio ontem;
− o alarme de detecção de intrusos estava quebrado.
 
Essa lista
a) é resultante da etapa de Levantamento de Ativos de Informação, que pode empregar técnicas
como entrevistas e brainstorm.
b) faz parte da etapa de Identificação de Controles Existentes e Planejados, efetuada depois da
Identificação de Vulnerabilidades e após a Identificação de Riscos.
c) é obtida a partir da etapa de Identificação de Vulnerabilidades. Uma vulnerabilidade é uma causa
potencial de um incidente indesejado, que pode resultar em dano para um sistema ou para a
organização.
https://www.tecconcursos.com.br/questoes/877696
690) 
691) 
d) resulta da etapa de Identificação de Riscos, que lista os riscos, ou seja, as fragilidades de um
ativo ou grupo de ativos que podemser exploradas por uma ou mais ameaças.
e) é resultante da etapa de Análise de Eventos. A compreensão dos eventos que ocorrem no
ambiente da organização é essencial para que os riscos sejam avaliados com maior precisão.
www.tecconcursos.com.br/questoes/882319
FCC - ATTIFM (Manaus)/Pref Manaus/Suporte/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Em segurança da informação a Técnica dos Incidentes Críticos (TIC) é utilizada para
a) a análise de riscos.
b) o controle do risco.
c) a continuidade dos serviços.
d) o resgate da operação da organização.
e) a recuperação pós falhas.
www.tecconcursos.com.br/questoes/1010822
Instituto AOCP - AC (IBGE)/IBGE/Análise de Sistemas/Suporte a Comunicações e Rede/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Uma vulnerabilidade é uma falha ou fraqueza em um sistema, a qual pode ser explorada
comprometendo a segurança desse sistema. Quando encontradas, são associadas a um número de
registro, para serem conhecidas publicamente como falhas de segurança já identificadas. Qual das
alternativas a seguir apresenta um registro de vulnerabilidades conhecidas?
a) CFD – Computer Flaws Database.
https://www.tecconcursos.com.br/questoes/882319
https://www.tecconcursos.com.br/questoes/1010822
692) 
693) 
b) KSE – Known Security Exploitation.
c) STR – Security Threat Registry.
d) TNR – Threat Number Registry.
e) CVE – Common Vulnerabilities and Exposures.
www.tecconcursos.com.br/questoes/1011395
Instituto AOCP - AC (IBGE)/IBGE/Análise de Sistemas/Suporte Operacional e de
Tecnologia/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Irineu pretende testar a segurança da informação de uma empresa através de testes realizados
dentro da sua rede de internet. Ele pretende contratar uma empresa para encontrar potenciais
vulnerabilidades de acesso aos dados que são coletados e armazenados na sua organização através da
aplicação de sistemas de detecção de intrusão. Qual dos seguintes tipos de testes essa aplicação realiza?
a) ISSAF.
b) OWASP.
c) DDoS.
d) Pentest.
e) Red Team.
www.tecconcursos.com.br/questoes/1012942
Instituto AOCP - AC (IBGE)/IBGE/Planejamento e Gestão/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Em uma organização do porte do IBGE, são realizadas inúmeras atividades operacionais, sujeitas
às legislações e normativas, envolvendo tecnologia da informação e ativos tangíveis e intangíveis. Como
https://www.tecconcursos.com.br/questoes/1011395
https://www.tecconcursos.com.br/questoes/1012942
694) 
deve se posicionar a gestão dos riscos de fraude e corrupção em relação a essas atividades e recursos?
a) A gestão de risco de fraude e corrupção deve ser realizada à parte das atividades e recursos, em
uma visão fiscalizadora da possibilidade de ocorrência de riscos de fraude e corrupção, considerando
as possíveis diferentes ações de fraudadores e corruptores internos e externos para evitar a sua
ocorrência.
b) A gestão de risco de fraude e corrupção deve estar empoderada junto aos principais dirigentes da
organização, tendo em vista que as atividades e recursos que representam maiores valores aplicados
são de responsabilidade desses dirigentes que, então, estarão protegidos da prática de fraudes e
corrupção na gestão.
c) A gestão de risco de fraude e corrupção deve estar vinculada a organismos independentes e
autônomos que tenham acesso livre e pleno a todas as atividades e recursos, em uma visão totalitária
relevante que considere os riscos de diferentes naturezas e ajustem os controles internos e externos
existentes para analisar os riscos.
d) A gestão de risco de fraude e corrupção deve estar subordinada aos principais administradores
das atividades e recursos, para atuarem em conjunto com os subordinados na prevenção dos riscos
mais relevantes da organização, considerando os inter-relacionamentos pessoais para eliminar a
ocorrência de fraudes.
e) A gestão de risco de fraude e corrupção deve estar integrada a todas as atividades e recursos, em
uma visão sistêmica dos riscos mais relevantes a que a organização está submetida, considerando as
possíveis interseções a outros riscos de diferentes naturezas e aproveitar os controles existentes para
mitigar os riscos.
www.tecconcursos.com.br/questoes/1438025
FUNDATEC - Tec (Pref São Borja)/Pref São Borja/Informática/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Risco residual é:
https://www.tecconcursos.com.br/questoes/1438025
695) 
a) Uma métrica na gestão de processos.
b) Uma forma de avaliar o andamento dos projetos na ISO 17001.
c) Um risco que continua após as respostas a riscos terem sido implementadas.
d) Um risco que não se mede.
e) Um risco que não é possível de se prever.
www.tecconcursos.com.br/questoes/1483093
OBJETIVA CONCURSOS - Tec (Pref Carazinho)/Pref Carazinho/Informática/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Considerando-se a organização para gestão de riscos de segurança da informação, analisar os itens
abaixo:
 
I. Estabelecimento das relações necessárias entre a organização e as partes interessadas, das
interfaces com as funções de alto nível de gestão de riscos da organização (por exemplo: a gestão
de riscos operacionais), assim como das interfaces com outros projetos ou atividades relevantes é
uma das responsabilidade dessa organização.
 
II. Convém que a organização e as responsabilidades para o processo de gestão de riscos de
segurança da informação sejam estabelecidas e mantidas.
a) Somente o item I está correto.
b) Somente o item II está correto.
c) Os itens I e II estão corretos.
d) Os itens I e II estão incorretos.
https://www.tecconcursos.com.br/questoes/1483093
696) 
697) 
www.tecconcursos.com.br/questoes/1740173
PROGEPE UFPE - Ana (UFPE)/UFPE/Tecnologia da Informação/Suporte e Rede/2019
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Diante das definições estabelecidas na norma ISO/IEC Guide 73:2002, identifique qual (quais) dos
tópico(s) citado(s) a seguir corresponde(m) às etapas envolvidas no gerenciamento de riscos.
 
1) Avaliação de riscos
2) Tratamento do risco
3) Aceitação do risco
 
Está(ão) envolvida(s) no gerenciamento de riscos a(s) etapa(s):
a) 3, apenas.
b) 1, 2 e 3.
c) 1 e 2, apenas.
d) 2, apenas.
e) 1, apenas.
www.tecconcursos.com.br/questoes/618575
FCC - AJ TRT6/TRT 6/Apoio Especializado/Tecnologia da Informação/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Considere a situação abaixo. 
 
O departamento de TI ficou responsável por entregar um software de Folha de Pagamento em
10/08/2018 que depende dos requisitos que serão coletados no departamento de Recursos Humanos
https://www.tecconcursos.com.br/questoes/1740173
https://www.tecconcursos.com.br/questoes/618575
698) 
(RH). Considerando o intenso volume de trabalho, o RH pode ou não ter pessoas necessárias para
fornecer as informações (requisitos) para o desenvolvimento do software. As incertezas relacionadas ao
fornecimento de informações mostram que o departamento de RH pode não fornecer as informações
necessárias a tempo para o desenvolvimento e entrega do software. 
 
Considerando que uma declaração de riscos deve incluir, entre outras informações o evento de risco,
causas e impactos nos objetivos, é correto afirmar que, a partir da situação descrita o evento de risco é: 
a) o RH pode ou não entregar a tempo as informações necessárias para o desenvolvimento do
software. 
b) o software não será entregue em 10/08/2018 porque o RH está com intenso volume de trabalho. 
c) devido às incertezas relacionadas ao fornecimento de informações, o RH pode não ter pessoal
livre para fornecer as informações necessárias a tempo. 
d) o departamento de TI é o responsável por entregar um software de Folha de Pagamento em
10/08/2018, independente dos requisitos que serão coletados no RH. 
e) a data de entrega do projeto é muito próxima, se consideradasas dificuldades envolvidas em todo
o processo de desenvolvimento do software. 
www.tecconcursos.com.br/questoes/624837
VUNESP - AnaS (CM Indaiatuba)/CM Indaiatuba/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
O tratamento de riscos, parte integrante da segurança da informação, envolve algumas opções,
sendo correto que, na opção
https://www.tecconcursos.com.br/questoes/624837
699) 
a) de retenção de um risco, um determinado risco é compartilhado com outra entidade que seja
capaz de gerenciar tal risco.
b) de modificação de um risco, são incluídos, excluídos ou alterados controles, tal que o risco
residual possa ser considerado aceitável.
c) que compreende a ação de evitar um risco, um determinado risco é compartilhado com outra
entidade que seja capaz de gerenciar tal risco.
d) de compartilhamento de um risco, não há necessidade de tomadas adicionais de ação, tendo
como base a avaliação dos riscos.
e) de compartilhamento de um risco, são incluídos, excluídos ou alterados controles, tal que o risco
residual possa ser considerado aceitável.
www.tecconcursos.com.br/questoes/668420
FGV - Ana (MPE AL)/MPE AL/Administrador de Banco de Dados/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
A Gerência de Riscos avalia os riscos de uma determinada organização, com o propósito de
identificar ameaças e vulnerabilidades nos seus ativos.
Em geral, a avaliação de riscos deve ser
a) imediata e irrestrita.
b) pública e privada.
c) manual e automática.
d) qualitativa e quantitativa.
e) total e local.
https://www.tecconcursos.com.br/questoes/668420
700) 
www.tecconcursos.com.br/questoes/690941
FAURGS - Tec TI (BANRISUL)/BANRISUL/Gestão de TI/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Numere a segunda coluna de acordo com a primeira, associando os tipos de fatores de risco em TI
às suas respectivas definições.
 
(1) Risco de Desempenho
 
(2) Risco de Custo
 
(3) Risco de Suporte
 
(4) Risco de Cronograma
 
( ) É o grau de incerteza de que o cronograma de projeto será mantido e de que o produto será
entregue dentro do prazo.
 
( ) É o grau de incerteza de que o orçamento do projeto será mantido.
 
( ) É o grau de incerteza de que o produto resultante será fácil de corrigir, adaptar e melhorar.
 
( ) É o grau de incerteza de que o produto atenderá aos requisitos e será adequado para o uso que
se pretende.
 
A sequência correta de preenchimento dos parênteses da segunda coluna, de cima para baixo, é
a) 3 – 2 – 1 – 4.
https://www.tecconcursos.com.br/questoes/690941
701) 
b) 4 – 1 – 2 – 3.
c) 1 – 4 – 2 – 3.
d) 2 – 1 – 3 – 4.
e) 4 – 2 – 3 – 1.
www.tecconcursos.com.br/questoes/708234
IBADE - Ana Prev (IPM JP)/IPM JP/Analista de Informática/Analista de Sistemas e
Programação/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
No âmbito da gestão de riscos, o remanescente, após o tratamento de riscos, é conhecido como
risco:
a) tratado.
b) residual.
c) final.
d) intratável.
e) desconsiderado.
www.tecconcursos.com.br/questoes/749524
FADESP - Tec Info (BANPARÁ)/BANPARÁ/Suporte/2018
https://www.tecconcursos.com.br/questoes/708234
https://www.tecconcursos.com.br/questoes/749524
702) 
703) 
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
O comitê de segurança da informação tem como função divulgar e estabelecer os procedimentos
de segurança, por exemplo, de uma empresa, com o objetivo de manter a segurança em todas as suas
áreas. Não é/são função(ões) do comitê de segurança da informação
a) a aprovação das políticas, normas e procedimentos de segurança da informação.
b) a aprovação de novos controles de segurança para melhoria contínua das medidas de proteção.
c) a definição das tecnologias a serem implantadas para minimização dos riscos de segurança da
informação.
d) a deliberação sobre temas ou ações não definidas em normas já publicadas.
e) a designação, a definição ou a alteração das responsabilidades da área de segurança da
informação.
www.tecconcursos.com.br/questoes/785950
SELECON - TAdE (SECITEC MT)/SECITEC MT/Informática/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
No que diz respeito à Gestão de Segurança da Informação, a Gestão de Riscos consiste em
direcionar, controlar e levar o risco relacionado à Segurança da Informação aos níveis aceitáveis para a
organização. Neste contexto, observe a figura abaixo, que representa um processo de gestão de riscos.
 
https://www.tecconcursos.com.br/questoes/785950
 
As etapas TRATAMENTO DE RISCOS, ANÁLISE DE RISCOS, IDENTIFICAÇÃO DE RISCOS e AVALIAÇÃO
DE RISCOS correspondem na figura, respectivamente, aos seguintes identificadores:
a) IV, II, I e III
b) III, IV, II e I
c) II, I, III e IV
d) I, III, IV e II
www.tecconcursos.com.br/questoes/965938
COPS UFLA - Ana TI (UFLA)/UFLA/2018
https://www.tecconcursos.com.br/questoes/965938
704) 
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Analise as proposições abaixo sobre avaliação de riscos de Segurança da Informação:
I. Um risco é uma fraqueza em um ativo ou grupo de ativos que pode ser explorada por uma ou
mais ameaças.
II. Uma vulnerabilidade é a causa potencial de um incidente indesejável, que pode resultar em dano
para um sistema ou organização.
III. Uma ameaça é qualquer evento que pode atrapalhar ou impedir um ativo de prover níveis
adequados dos serviços de segurança fundamentais.
IV. As fontes de ameaças naturais clássicas são denominadas casos de força maior e incluem danos
causados por fogo, inundação, tempestade, terremoto e outros eventos naturais.
Assinale a alternativa CORRETA:
a) Somente as proposições I e III estão corretas.
b) Somente as proposições III e IV estão corretas.
c) Somente as proposições I, II e III estão corretas.
d) Somente as proposições I, II e IV estão corretas.
www.tecconcursos.com.br/questoes/464727
CEBRASPE (CESPE) - GPPGE (SEDF)/SEDF/Tecnologia da Informação/2017
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/464727
705) 
706) 
A respeito de segurança da informação, julgue o item seguinte de acordo com a norma NBR
ISO/IEC 17799.
 
Independentemente de eventuais custos para sua mitigação, todos os riscos relativos à segurança da
informação devem ser tratados e aceitos, devendo o custo disso fazer parte da avaliação econômica de
qualquer projeto.
Certo
Errado
www.tecconcursos.com.br/questoes/469850
CONSULPLAN - AJ TRF2/TRF 2/Apoio Especializado/Informática - Infraestrutura/2017
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
A Norma Brasileira ABNT NBR ISO/IEC 31000:2009 é responsável pela Gestão de riscos – Princípios
e diretrizes. Uma vez que todas as atividades, de qualquer organização, estão sujeitas a riscos, e mesmo
que esses riscos possam ser gerenciados de alguma forma, esta norma visa estabelecer um número de
princípios que devem ser atendidos, para que a gestão de riscos seja mais eficaz. Como definição de
risco, a Norma 31.000:2009 apresenta como “efeito da incerteza nos objetivos”. Nesta norma estão
relacionados os princípios da gestão de riscos, a estrutura e os respectivos processos. Tomada ou
aumento do risco na tentativa de tirar proveito de uma oportunidade, alteração da probabilidade e
alteração das consequências são ações/atividades de um desses Processos. Assinale a alternativa correta
que apresenta corretamente o respectivo processo:
a) Análise de riscos.
b) Avaliação de riscos.
c) Tratamento de riscos.
https://www.tecconcursos.com.br/questoes/469850
707) 
d) Identificação de riscos.
www.tecconcursos.com.br/questoes/584388
FCC - AJ TST/TST/Apoio Especializado/Tecnologia da Informação/2017
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Considere a tabela abaixo.
 
Fator Consequência
(determina o nível de
consequência
caso o risco ocorra.)
Fator Exposição ao Risco
(determina a frequência com que
esse risco