Prévia do material em texto

401) 
Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024
https://www.tecconcursos.com.br/s/Q3Jnon
Ordenação: Por Matéria e Assunto (data)
www.tecconcursos.com.br/questoes/2590833
CEBRASPE (CESPE) - Ana (MPE RO)/MPE RO/Redes e Comunicação de Dados/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Conforme a norma ABNT NBR ISO/IEC 27005, no contexto da análise de riscos da organização, a
partir da identificação de cenários de incidentes relevantes, de ameaças, de ativos afetados, de
vulnerabilidades exploradas e de efeitos para os ativos e processos do negócio, convém que ocorra a
a) avaliação da probabilidade dos incidentes.
b) determinação do nível de risco.
c) descrição geral do processo de tratamento do risco.
d) análise qualitativa de riscos.
e) análise quantitativa de riscos.
www.tecconcursos.com.br/questoes/2591194
VUNESP - ADP (DPE SP)/DPE SP/Analista de Suporte/2023
https://www.tecconcursos.com.br/s/Q3Jnon
https://www.tecconcursos.com.br/questoes/2590833
https://www.tecconcursos.com.br/questoes/2591194
402) 
403) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ABNT NBR ISO/IEC 27005 – Tecnologia da Informação – Técnicas de segurança – Gestão
de Riscos de segurança da informação – estabelece quatro opções para o tratamento de riscos em um
sistema de informação, sendo duas dessas opções:
a) replicação e divisão do risco.
b) modificação e retenção do risco.
c) absorção e participação do risco.
d) substituição e compactação do risco.
e) internalização e implementação do risco.
www.tecconcursos.com.br/questoes/2591846
CEBRASPE (CESPE) - Ana (MPE RO)/MPE RO/Sistemas/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC 27005:2019, em uma organização, o
compartilhamento de determinado risco
a) tem potencial para criar novos riscos ou modificar riscos existentes e identificados.
b) tem potencial para evitar que ocorra a atividade ou condição que dá origem aos riscos.
c) permite à organização decidir sobre a retenção dos riscos com base em sua avaliação.
d) permite à organização deliberar sobre a aceitação dos riscos a partir de seu tratamento adequado.
e) permite à organização gerenciar o risco por meio de controles para reduzir o risco residual.
https://www.tecconcursos.com.br/questoes/2591846
404) 
405) 
www.tecconcursos.com.br/questoes/2604211
CEBRASPE (CESPE) - Ana TI (FUB)/FUB/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito de gestão de riscos e continuidade do negócio, julgue o item a seguir, com base na NBR
ISO/IEC 27005.
É apropriado que ações relacionadas à retenção do risco, sem outras ações adicionais, sejam tomadas
independentemente da execução da avaliação dos riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/2604212
CEBRASPE (CESPE) - Ana TI (FUB)/FUB/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito de gestão de riscos e continuidade do negócio, julgue o item a seguir, com base na NBR
ISO/IEC 27005.
 
Critérios para a aceitação do risco devem instituir exclusivamente um único limite, não sendo aceitável
mais de um limite.
Certo
Errado
https://www.tecconcursos.com.br/questoes/2604211
https://www.tecconcursos.com.br/questoes/2604212
406) 
407) 
www.tecconcursos.com.br/questoes/2619557
FGV - TecGes Admin (ALEMA)/ALEMA/Analista de Sistemas/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma NBR ISO/IEC 27005:2019 fornece diretrizes para a gestão de riscos de segurança da
informação em uma organização. De acordo com esta norma, é conveniente que
a) o nível de risco seja determinado para todos os cenários de incidentes relevantes.
b) seja dada atenção unicamente a incidentes que causem consequências de natureza permanente.
c) o valor do impacto ao negócio seja sempre expresso de forma quantitativa.
d) controles para modificar, reter ou compartilhar os riscos sejam prontamente evitados.
e) sejam identificados somente os riscos cujas fontes estejam sob controle da organização.
www.tecconcursos.com.br/questoes/2642015
CEBRASPE (CESPE) - Ana TI (DATAPREV)/DATAPREV/Segurança Cibernética/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, julgue o item a seguir.
 
A ABNT NBR ISO/IEC 27005 provê metodologia específica para o gerenciamento de riscos em segurança
da informação.
https://www.tecconcursos.com.br/questoes/2619557
https://www.tecconcursos.com.br/questoes/2642015
408) 
409) 
Certo
Errado
www.tecconcursos.com.br/questoes/2642018
CEBRASPE (CESPE) - Ana TI (DATAPREV)/DATAPREV/Segurança Cibernética/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a ABNT NBR ISO/IEC 27005 e a NBR ISO 22301, julgue o item a seguir.
 
Diante de riscos identificados que necessitam de tratamento, a organização deve tomar medidas
proativas que reduzam a probabilidade de interrupção dos serviços ou diminuam o tempo de interrupção.
Certo
Errado
www.tecconcursos.com.br/questoes/2695478
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na NBR ISO 27005:2019, é estabelecido que a análise de riscos pode ser empreendida com
diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das
vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Há uma metodologia
de análise de riscos que utiliza uma escala com atributos que descrevem a magnitude das consequências
https://www.tecconcursos.com.br/questoes/2642018
https://www.tecconcursos.com.br/questoes/2695478
410) 
potenciais (por exemplo, pequena, média e grande) e a probabilidade de essas consequências ocorrerem
(por exemplo, alta, média e baixa). Essa metodologia de análise de riscos é classificada como
a) combinada
b) geométrica
c) ponderada
d) qualitativa
e) quantitativa
www.tecconcursos.com.br/questoes/1915587
CEBRASPE (CESPE) - ADP (DPE RO)/DPE RO/Redes e Comunicação de Dados/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na gestão de riscos e continuidade de negócio à luz da NBR ISO/IEC n.o 27005:2011, o processo
de avaliação de riscos inclui
a) identificação de riscos e análise de riscos.
b) aceitação de riscos e tratamento de riscos.
c) tratamento de riscos e transferência do risco.
d) estabelecimento do contexto e tratamento de riscos.
e) identificação de riscos e mitigação de riscos.
www.tecconcursos.com.br/questoes/1916066
CEBRASPE (CESPE) - ADP (DPE RO)/DPE RO/Redes e Comunicação de Dados/2022
https://www.tecconcursos.com.br/questoes/1915587
https://www.tecconcursos.com.br/questoes/1916066
411) 
412) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a Norma NBR ISO/IEC 27005, no que diz respeito ao monitoramento e análise crítica dos
fatores de riscos de segurança da informação, é necessária uma análise crítica periódica sobre
a) os novos ativos incluídos no escopo da gestão de riscos.
b) as opções selecionadas para o tratamento de riscos.
c) os incidentes relacionados à segurança da informação.
d) a exposição de vulnerabilidades já identificadas a ameaças novas.
e) as novas ameaças ainda não avaliadas e que podem estar ativas.
www.tecconcursos.com.br/questoes/1916068
CEBRASPE (CESPE) - ADP (DPE RO)/DPE RO/Redes e Comunicação de Dados/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a Norma NBR ISO/IEC 27005, na avaliação das consequênciasda análise de riscos,
para que a avaliação de impacto permita um processo de tomada de decisão mais eficiente, é indicado
a) expressar as consequências e o impacto de forma factual e realista para a organização.
b) elaborar uma escala com atributos descritores das consequências potenciais e do impacto.
c) utilizar um método para designar valores monetários para o impacto.
d) empregar análise qualitativa capaz de dimensionar com precisão a extensão do impacto.
e) apropriar dados estatísticos históricos para quantificar a dimensão do impacto.
https://www.tecconcursos.com.br/questoes/1916068
413) 
414) 
www.tecconcursos.com.br/questoes/1916968
CEBRASPE (CESPE) - TDP (DPE RO)/DPE RO/Técnico em Informática/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No contexto de um sistema de gestão da segurança da informação (SGSI), a disponibilização de
documentos e evidências que permitam a verificação e a rastreabilidade de medidas corretivas e
preventivas em segurança da informação estão incluídas nas ações vinculadas a
a) identificar os requisitos de SI.
b) selecionar e implementar os controles de SI.
c) avaliar os riscos de SI.
d) monitorar, manter e melhorar a eficácia do SGSI.
e) tratar os riscos de SI.
www.tecconcursos.com.br/questoes/1916976
CEBRASPE (CESPE) - TDP (DPE RO)/DPE RO/Técnico em Informática/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na gestão de incidentes de segurança da informação, um dos mecanismos de resposta a incidentes
computacionais é
a) o plano de comunicação.
b) a monitoração.
c) a análise.
d) a avaliação de riscos.
https://www.tecconcursos.com.br/questoes/1916968
https://www.tecconcursos.com.br/questoes/1916976
415) 
e) a segurança de rede.
www.tecconcursos.com.br/questoes/1925671
FGV - AFFC (CGU)/CGU/Tecnologia da Informação/"Sem Especialidade"/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
João foi contratado para fazer a gestão de risco em um órgão público de acordo com as diretrizes
para o processo de gestão de riscos de segurança da informação estabelecidas na norma ABNT NBR
ISO/IEC 27005:2019. João está trabalhando em sua tarefa incluindo, excluindo e alterando alguns
controles. Com isso poderá avaliar os riscos residuais e considerá-los aceitáveis ou não.
A etapa do processo de gestão de riscos de segurança da informação em que João está trabalhando é:
a) definição do contexto;
b) processo de avaliação de riscos;
c) tratamento de riscos;
d) aceitação de riscos;
e) monitoramento e análise crítica dos riscos.
www.tecconcursos.com.br/questoes/1937740
CEBRASPE (CESPE) - AFCE (TCE-SC)/TCE SC/Ciências da Computação/2022
https://www.tecconcursos.com.br/questoes/1925671
https://www.tecconcursos.com.br/questoes/1937740
416) 
417) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No que tange a gestão de riscos e continuidade do negócio, julgue o próximo item.
 
Segundo a NBR n.º 27005:2019, a abordagem da gestão de riscos de segurança da informação define
que se deve adotar um método de fazer a gestão da segurança para todos os processos existentes para
facilitar o treinamento dos colaboradores.
Certo
Errado
www.tecconcursos.com.br/questoes/1942678
CEBRASPE (CESPE) - ATT (SEFAZ SE)/SEFAZ SE/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a ABNT NBR ISO/IEC 27005:2019, na opção de tratamento modificação de risco, o
fato de que controles de acesso complexos podem estimular os usuários a buscarem método de acesso
alternativo não autorizado está relacionado a restrições para a modificação do risco denominado
a) técnicas.
b) éticas.
c) temporais.
d) facilidades de uso.
e) operacionais.
https://www.tecconcursos.com.br/questoes/1942678
418) 
419) 
www.tecconcursos.com.br/questoes/1970864
CEBRASPE (CESPE) - AAAJ (DP DF)/DP DF/Informática Desenvolvimento de Sistemas/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o próximo item, a respeito da conformidade e gestão de riscos.
 
A análise de riscos consiste na atividade de cálculo de probabilidade por meio apenas de avaliações
quantitativas.
Certo
Errado
www.tecconcursos.com.br/questoes/1980602
CEBRASPE (CESPE) - Esp GT (TELEBRAS)/TELEBRAS/Engenheiro Redes/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com base nas normas ABNT NBR ISO 27001 e 27005, julgue o próximo item.
 
O processo de aceitação do risco da gestão de riscos e segurança da informação está alinhado com o
processo de planejamento do SGSI (sistema de gestão de segurança da informação).
Certo
Errado
www.tecconcursos.com.br/questoes/1980604
CEBRASPE (CESPE) - Esp GT (TELEBRAS)/TELEBRAS/Engenheiro Redes/2022
https://www.tecconcursos.com.br/questoes/1970864
https://www.tecconcursos.com.br/questoes/1980602
https://www.tecconcursos.com.br/questoes/1980604
420) 
421) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com base nas normas ABNT NBR ISO 27001 e 27005, julgue o próximo item.
 
A tarefa específica de comparar um determinado risco com critérios predefinidos de risco, com objetivo
de determinar a grandeza desse risco, é denominada análise de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/1980606
CEBRASPE (CESPE) - Esp GT (TELEBRAS)/TELEBRAS/Engenheiro Redes/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com base nas normas ABNT NBR ISO 27001 e 27005, julgue o próximo item.
 
Quanto ao tratamento, a transferência de um risco para outra entidade pode criar novos riscos ou alterar
os riscos já existentes.
Certo
Errado
www.tecconcursos.com.br/questoes/1990963
CEBRASPE (CESPE) - Ana (PGE RJ)/PGE RJ/Sistemas e Métodos/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/1980606
https://www.tecconcursos.com.br/questoes/1990963
422) 
423) 
Com base nas normas relacionadas à gestão de segurança, julgue o item a seguir.
 
De acordo com a ABNT NBR ISO/IEC 27005:2019, a análise de riscos é baseada nas consequências e na
probabilidade avaliadas; essa análise designa valores para as consequências de um risco e tais valores
podem ser de natureza quantitativa ou qualitativa.
Certo
Errado
www.tecconcursos.com.br/questoes/2010899
Instituto AOCP - Tec Ban III (BANESE)/BANESE/Informática/Suporte/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Dentre as opções de tratamento de riscos, identifique a ação que NÃO é uma das quatro
abordagens principais.
a) Aceitar o risco.
b) Transferir o risco.
c) Comunicar o risco.
d) Evitar o risco.
e) Mitigar o risco.
www.tecconcursos.com.br/questoes/2022163
https://www.tecconcursos.com.br/questoes/2010899
https://www.tecconcursos.com.br/questoes/2022163
424) 
425) 
Instituto AOCP - Aud Est (CGE MS)/CGE MS/Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
“Manter e desenvolver um processo de atendimento aos riscos para garantir que
controles mitiguem a exposição aos riscos de forma contínua.” O enunciado refere-se a qual
etapa da gestão de riscos de TI?
a) Estabelecimento do contexto de risco.
b) Manutenção de um perfil de risco.
c) Avaliação de risco.
d) Resposta ao risco.
e) Manutenção e monitoramento do plano de ação de risco.
www.tecconcursos.com.br/questoes/2022217
Instituto AOCP - Aud Est (CGE MS)/CGE MS/Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A ISO/IEC 27005:2011 fornece orientações para a gestão de riscos de segurança da
informação. Assinale a alternativaque NÃO descreve uma etapa da gestão de riscos.
a) Avaliação do risco.
b) Requisito de segurança.
https://www.tecconcursos.com.br/questoes/2022217
426) 
c) Tratamento do risco.
d) Aceitação do risco.
e) Comunicação do risco.
www.tecconcursos.com.br/questoes/2022218
Instituto AOCP - Aud Est (CGE MS)/CGE MS/Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
“Agente ou condição que pode causar incidente que compromete as informações e seus
ativos por meio da exploração de vulnerabilidades.” A que se refere o enunciado?
a) Processo.
b) Risco.
c) Pacote de Serviço.
d) Requisito.
e) Ameaça.
www.tecconcursos.com.br/questoes/2036105
CEBRASPE (CESPE) - Tec (FUB)/FUB/Tecnologia da Informação/2022
https://www.tecconcursos.com.br/questoes/2022218
https://www.tecconcursos.com.br/questoes/2036105
427) 
428) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item subsecutivo, relativos a gerenciamento de riscos de TI.
 
A avaliação de riscos envolve a comparação dos resultados da análise de riscos frente aos critérios de
riscos estabelecidos para determinar onde é necessária ação adicional.
Certo
Errado
www.tecconcursos.com.br/questoes/2041481
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ABNT NBR ISO/IEC 27005 fornece diretrizes para o processo de gestão de riscos de
segurança da informação.
 
Essa norma mostra um processo de gestão de riscos de segurança da informação no qual o processo de
avaliação de riscos deve ser executado na seguinte ordem:
a) identificação de riscos, análise de riscos e tratamento de riscos
b) identificação de riscos, análise de riscos e avaliação de riscos
c) análise de riscos, identificação de riscos e avaliação de riscos
d) análise de riscos, identificação de riscos e tratamento de riscos
e) identificação de riscos, avaliação de riscos e tratamento de riscos
https://www.tecconcursos.com.br/questoes/2041481
429) 
430) 
www.tecconcursos.com.br/questoes/2041503
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC 27005, dentre os quesitos para seleção das opções de
tratamento do risco, devem ser observados o custo esperado para implementação dessas opções e os
benefícios previstos. As opções disponíveis para o tratamento do risco são
a) modificação do risco, retenção do risco, ação de evitar o risco e compartilhamento do risco.
b) modificação do risco, retenção do risco e ação de evitar o risco, apenas.
c) modificação do risco, ação de evitar o risco e compartilhamento do risco, apenas.
d) retenção do risco, ação de evitar o risco e compartilhamento do risco, apenas.
e) retenção do risco e ação de evitar o risco, apenas.
www.tecconcursos.com.br/questoes/2076328
QUADRIX - PAES (CRECI 11)/CRECI 11 (SC)/Analista da Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da
informação, julgue o item.
Na NBR ISO/IEC 27005:2011, a definição do contexto representa a fase de preparação para a
implementação da gestão de riscos, que envolve principalmente a definição de cinco aspectos: critérios;
https://www.tecconcursos.com.br/questoes/2041503
https://www.tecconcursos.com.br/questoes/2076328
431) 
432) 
escopo; necessidade; requisitos; e organização, todos eles tratados pelo Sistema de Gestão de
Segurança da Informação.
Certo
Errado
www.tecconcursos.com.br/questoes/2076329
QUADRIX - PAES (CRECI 11)/CRECI 11 (SC)/Analista da Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da
informação, julgue o item.
 
Segundo a NBR ISO/IEC 27005:2011, a fase de comunicação do risco compreende o registro formal da
decisão de aceite dos riscos pela organização.
Certo
Errado
www.tecconcursos.com.br/questoes/2076330
QUADRIX - PAES (CRECI 11)/CRECI 11 (SC)/Analista da Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com as NBR ISO/IEC 27005:2011 e 15999-1: 2007, que tratam de segurança da
informação, julgue o item.
 
https://www.tecconcursos.com.br/questoes/2076329
https://www.tecconcursos.com.br/questoes/2076330
433) 
Uma característica geral da NBR ISO/IEC 27005:2011 é que todas as fases e atividades da gestão de
riscos são organizadas na forma de processos.
Certo
Errado
www.tecconcursos.com.br/questoes/2123323
SGP UERJ - TUS (UERJ)/UERJ/Contador/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ABNT NBR ISO/IEC 27005:20011 aponta diretrizes e descreve um processo genérico para
a gestão de riscos de segurança da informação de uma organização, deixando a cargo da mesma a
escolha do método para a avaliação de riscos, em conformidade com suas características e
particularidades. Nesse contexto, a metodologia de avaliação de riscos, qualitativa, caracterizada por ser
executada em um curto espaço de tempo, em três etapas, pelos especialistas da própria organização, por
meio de reuniões lideradas por um facilitador e aplicada a um ativo (qualquer elemento de valor para a
organização) sistema ou processo de negócio por vez, é denominada:
a) COBIT 5 for Risk
b) CORAS ou Método CORAS
c) FRAAP (Facilitated Risk Analysis Process)
d) GRSIC (Gestão de Risco de Segurança da Informação e Comunicações)
www.tecconcursos.com.br/questoes/2143738
QUADRIX - ATI (CRM SC)/CRM SC/2022
https://www.tecconcursos.com.br/questoes/2123323
https://www.tecconcursos.com.br/questoes/2143738
434) 
435) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em relação à segurança em recursos humanos, à gestão de incidentes de segurança da
informação, à gestão de riscos e continuidade de negócio e à norma NBR ISO/IEC n.º 27005:2011,
julgue o item.
 
Um dos objetivos do controle “gestão de incidentes de segurança da informação” é assegurar que
fragilidades e eventos de segurança da informação associados com sistemas de informação sejam
comunicados, de forma a permitir a tomada de ação corretiva em tempo hábil.
Certo
Errado
www.tecconcursos.com.br/questoes/2143740
QUADRIX - ATI (CRM SC)/CRM SC/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em relação à segurança em recursos humanos, à gestão de incidentes de segurança da
informação, à gestão de riscos e continuidade de negócio e à norma NBR ISO/IEC n.º 27005:2011,
julgue o item.
 
A norma NBR ISO/IEC n.º 27005:2011 aborda a gestão de riscos, podendo ser aplicada a todos os tipos
de organizações (grandes, pequenas ou médias), desde que tenham a pretensão de gerir os riscos que
poderiam comprometer sua segurança da informação.
Certo
Errado
https://www.tecconcursos.com.br/questoes/2143740
436) 
437) 
www.tecconcursos.com.br/questoes/2143741
QUADRIX - ATI (CRM SC)/CRM SC/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em relação à segurança em recursos humanos, à gestão de incidentes de segurança da
informação, à gestão de riscos e continuidade de negócio e à norma NBR ISO/IEC n.º 27005:2011,
julgue o item.
 
De acordo com a norma NBR ISO/IEC n.º 27005:2011, apenas os riscos com probabilidade de provocar
mais impactos nas empresas é que devem ser analisados, para que se saiba o quanto eles afetarão a
empresa, ajudando-a a tomar decisões sobre ações futuras.Certo
Errado
www.tecconcursos.com.br/questoes/2152923
CEBRASPE (CESPE) - Aud Est (SECONT ES)/SECONT ES/Tecnologia da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item a seguir, com relação a sistemas de proteção antispam, a normas da NBR ISO/IEC
27005, aos planos de continuidade de negócios e a disposições da Lei Geral de Proteção de Dados
Pessoais (LGPD).
 
De acordo com a NBR ISO/IEC 27005, na avaliação das consequências da análise de riscos, o valor do
impacto de um ativo de informação afetado por uma violação de segurança é integralmente determinado
https://www.tecconcursos.com.br/questoes/2143741
https://www.tecconcursos.com.br/questoes/2152923
438) 
439) 
pelo custo da recuperação e da reposição da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/2157911
CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou
Engenharia/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão dos riscos de segurança da informação, julgue o item que se segue.
 
Segundo a norma ISO/IEC 27005, o risco de segurança da informação é calculado com base na
combinação da possibilidade de um incidente e de sua consequência.
Certo
Errado
www.tecconcursos.com.br/questoes/2157913
CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou
Engenharia/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão dos riscos de segurança da informação, julgue o item que se segue.
 
https://www.tecconcursos.com.br/questoes/2157911
https://www.tecconcursos.com.br/questoes/2157913
440) 
A gestão de risco é um processo composto por diversas atividades, sendo a primeira a de definição do
contexto, que é seguida pelas atividades de análise/avaliação de riscos, tratamento do risco, aceitação do
risco, comunicação do risco, e as últimas, as de monitoramento e análise crítica de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/2157914
CEBRASPE (CESPE) - ACP (MP TCE-SC)/TCE SC/Administração, Contabilidade, Economia ou
Engenharia/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o seguinte item, a respeito de segurança da informação.
 
É por meio do tratamento de riscos que se identificam e se estimam os riscos, considerando-se o uso
sistemático de informações, a análise de ameaças, as vulnerabilidades e seus impactos.
Certo
Errado
www.tecconcursos.com.br/questoes/2165803
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/2157914
https://www.tecconcursos.com.br/questoes/2165803
441) 
442) 
A avaliação do risco em uma organização deve contemplar a identificação, quantificação e
priorização do risco em relação ao critério de aceitação do risco. Os riscos que não puderem ser aceitos
pela organização deverão ser tratados. Nesse sentido, uma opção adequada de resposta ao risco é
a) compartilhar o risco, implementando ações e aplicando o correto controle para reduzir o nível de
aceitação do risco.
b) evitar o risco, aplicando-se os controles apropriados para reduzir os impactos do risco.
c) mitigar o risco, transferindo-o para outros parceiros — por exemplo, fornecedores ou seguradoras.
d) aceitar o risco, conhecendo-o, e não implementar ações, pois o risco atende os critérios de
aceitação.
www.tecconcursos.com.br/questoes/2165811
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na avaliação de riscos, procura-se uma base que sirva para efeitos de comparação, como a análise
e a avaliação de riscos efetuadas em épocas anteriores. O conhecimento prévio de impactos e
probabilidades de riscos é sempre relevante para uma avaliação adequada e completa. Por outro lado, há
basicamente dois modos de realizar a avaliação de riscos, os quais se baseiam
a) no controle e na classificação de recursos computacionais.
b) nas estimativas quantitativa e qualitativa.
c) no custo e benefício.
d) nos níveis de tecnologia e processos.
https://www.tecconcursos.com.br/questoes/2165811
443) 
444) 
www.tecconcursos.com.br/questoes/2165815
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a ABNT NBR ISO/IEC 27005, assinale a opção que indica o processo de gestão de
riscos de segurança da informação que prevê a identificação dos riscos, bem como sua priorização
qualitativa, quando se usam como entradas, por exemplo, seu escopo e seus limites.
a) aceitação do risco de segurança da informação
b) tratamento do risco de segurança da informação
c) análise/avaliação de riscos de segurança da informação
d) comunicação do risco de segurança da informação
www.tecconcursos.com.br/questoes/2165817
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/Segurança da Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na gestão de riscos, o tratamento de riscos
a) corresponde à seleção e implementação de medidas para modificar determinado risco.
b) identifica e estima riscos, considerando o uso sistemático de informações, além de englobar a
análise de ameaças, vulnerabilidades e impactos.
https://www.tecconcursos.com.br/questoes/2165815
https://www.tecconcursos.com.br/questoes/2165817
445) 
446) 
c) compreende todas as ações tomadas para controlar os riscos em uma organização, incluindo-se
análise/avaliação, tratamento, aceitação e comunicação de riscos.
d) compara o risco estimado na análise com critérios predefinidos, com o objetivo de identificar a
importância do risco para a organização.
www.tecconcursos.com.br/questoes/2216210
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Analista de Segurança da Tecnologia da
Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de riscos segundo a NBR ISO/IEC 27005, julgue o próximo item.
A lista de componentes com responsáveis e localidades é obtida no processo de identificação dos riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/2216212
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Analista de Segurança da Tecnologia da
Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de riscos segundo a NBR ISO/IEC 27005, julgue o próximo item.
Experiências internas de incidentes e avaliações anteriores das ameaças não devem ser consideradas em
https://www.tecconcursos.com.br/questoes/2216210
https://www.tecconcursos.com.br/questoes/2216212
447) 
448) 
avaliação de riscos após a ocorrência dos eventos relevantes.
Certo
Errado
www.tecconcursos.com.br/questoes/2216214
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Analista de Segurança da Tecnologia da
Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da gestão de riscos segundo a NBR ISO/IEC 27005, julgue o próximo item.
Na avaliação da probabilidade dos incidentes, tem-se como entrada uma lista de cenários de incidentes
identificados como relevantes.
Certo
Errado
www.tecconcursos.com.br/questoes/2216215
CEBRASPE (CESPE) - Tec TI (BANRISUL)/BANRISUL/Analista de Segurança da Tecnologia da
Informação/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
InformaçãoA respeito da gestão de riscos segundo a NBR ISO/IEC 27005, julgue o próximo item.
Na etapa de identificação das consequências, tem-se como entrada uma lista de ameaças e
https://www.tecconcursos.com.br/questoes/2216214
https://www.tecconcursos.com.br/questoes/2216215
449) 
vulnerabilidades relacionadas aos ativos.
Certo
Errado
www.tecconcursos.com.br/questoes/2218659
IBFC - Esp Fom (AFEAM)/AFEAM/Desenvolvimento de Sistemas/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Abordagem sobre a análise de riscos, segundo a ISO 27005, possui quatro objetivos principais.
 
Assinale, das alternativas a seguir, a única que identifica incorretamente um desses objetivos.
a) Determinar as vulnerabilidades e ameaças
b) Especular taticamente empresas concorrentes levantando o custo benefício da implementação da
solução
c) Determinar o risco de as ameaças se tornarem realidade e interromperem os processos
operacionais
d) Estabelecer um equilíbrio entre os custos de um incidente e os custos de uma medida de
segurança
www.tecconcursos.com.br/questoes/2293452
FEPESE - Ana Info (FAPESC)/FAPESC/2022
https://www.tecconcursos.com.br/questoes/2218659
https://www.tecconcursos.com.br/questoes/2293452
450) 
451) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Assinale a alternativa que indica corretamente a norma que fornece diretrizes sobre gestão de
riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de
riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos.
a) ABNT NBR ISO/IEC 27000
b) ABNT NBR ISO/IEC 27001
c) ABNT NBR ISO/IEC 27002
d) ABNT NBR ISO/IEC 27005
e) ABNT NBR ISO/IEC 27015
www.tecconcursos.com.br/questoes/2317444
VUNESP - Per Crim (PC RR)/PC RR/Computação Científica ou Análise de Sistema/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ABNT NBR ISO/IEC 27005 (Tecnologia da informação – Técnicas de segurança – Gestão
de riscos de segurança da informação) estabelece diretrizes para a identificação de riscos. Nessas
diretrizes, são estabelecidas etapas, sendo a primeira e a última dessas etapas, respectivamente, a
identificação dos ativos e a identificação das consequências. As três etapas intermediárias entre essas
duas etapas são a identificação de
a) ameaças, controles existentes e vulnerabilidades.
b) compartilhamentos, operações e ameaças.
c) completeza, utilização e vulnerabilidade.
d) retenções, monitoramento e compartilhamentos.
https://www.tecconcursos.com.br/questoes/2317444
452) 
453) 
e) modificações, criticidade e completeza.
www.tecconcursos.com.br/questoes/2327586
Instituto Consulplan - Tec Inf (IPASEM)/IPASEM/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Para o tratamento do risco, considerando a Norma ISO/IEC 27005:2019, a ação a ser
implementada menciona que “convém que controles para modificar, reter, evitar ou compartilhar os riscos
sejam selecionados e o plano de tratamento do risco seja definido”. Há quatro opções disponíveis para o
tratamento do risco; assinale-as.
a) Probabilidade do risco; retenção do risco; ação de evitar o risco; e, determinação do risco.
b) Modificação do risco; retenção do risco; ação de evitar o risco; e, compartilhamento do risco.
c) Determinação do risco; entendimento do risco; ação de evitar o risco; e, probabilidade do risco.
d) Entendimento do risco; retenção do risco; probabilidade do risco; e, compartilhamento do risco.
e) Aceitação do risco; probabilidade do risco; entendimento do risco; e, compartilhamento do risco.
www.tecconcursos.com.br/questoes/2327589
Instituto Consulplan - Tec Inf (IPASEM)/IPASEM/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A Norma NBR ISO/IEC 27005:2019 trata da Gestão de Riscos de Segurança da Informação. Para
elaborar um plano para a Gestão de Riscos de uma determinada organização, considerando tal
normativa, os seguintes critérios para a avaliação de riscos devem ser definidos, EXCETO:
https://www.tecconcursos.com.br/questoes/2327586
https://www.tecconcursos.com.br/questoes/2327589
454) 
a) “A criticidade dos ativos de informação envolvidos”.
b) “O valor estratégico do processo que trata as informações de negócio”.
c) “A descrição dos requisitos de segurança da informação para um produto, um serviço ou um
mecanismo”.
d) “Expectativas e percepções das partes interessadas e consequências negativas para o valor de
mercado (e a reputação)”.
e) “A importância do ponto de vista operacional e dos negócios, da disponibilidade, da
confidencialidade e da integridade”.
www.tecconcursos.com.br/questoes/2433881
VUNESP - Per Crim (PC RR)/PC RR/Computação Científica ou Análise de Sistema/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ABNT NBR ISO/IEC 27005 (Tecnologia da informação – Técnicas de segurança – Gestão
de riscos de segurança da informação) identifica, em sua seção Processo de avaliação de riscos de
segurança da informação, três atividades básicas ligadas a tal processo, a saber,
a) identificação, análise e avaliação de riscos.
b) inserção, validação e verificação de riscos.
c) retenção, teste e correção de riscos.
d) modificação, tratamento e personalização de riscos.
e) contextualização, impacto e publicação de riscos.
www.tecconcursos.com.br/questoes/2445316
IBADE - Ana (INOVA Capixaba)/INOVA Capixaba/Ensino e Pesquisa/2022
https://www.tecconcursos.com.br/questoes/2433881
https://www.tecconcursos.com.br/questoes/2445316
455) 
456) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Para aderir ao prontuário eletrônico, o estabelecimento de saúde deve estar atento sobretudo à
segurança das informações e à inviolabilidade dos documentos. Por isso, é necessário observar a(o):
a) Lei de Propriedade Intelectual.
b) Lei Geral de Proteção de Dados.
c) ISO 14.001.
d) Manifesto Ágil.
e) Certificação Digital.
www.tecconcursos.com.br/questoes/2525687
IDECAN - ATI (UFBA)/UFBA/Infraestrutura/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Um técnico de tecnologia da informação é chamado para elaborar um relatório de levantamentos
de riscos nos ativos de rede da organização. Julgue a seguinte afirmação: considerando a família ISO
27000, o guia mais adequado a seguir para essa demanda é a ISO 27003.
Certo
Errado
https://www.tecconcursos.com.br/questoes/2525687
457) 
458) 
www.tecconcursos.com.br/questoes/2613451
CEBRASPE (CESPE) - ATCG (MCom)/MCom/Tecnologia da Informação e de Engenharia
Senior/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item a seguir, com base nas normas da ABNT.
 
Segundo a ABNT NBR ISO/IEC 27005:2019, a modificação do risco de segurança da informação permite
a aceitação do risco, de acordo com critérios estabelecidos.
Certo
Errado
www.tecconcursos.com.br/questoes/1505880
CEBRASPE (CESPE) - AnDR (CODEVASF)/CODEVASF/Tecnologia da Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando as disposições das normas ISO 27001, ISO 27002 e NBR ISO/IEC 27005, julgue o
item a seguir.
 
No processo de tratamento de riscos de segurança da informação, a organização deve assegurar que as
contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis e válidos.
Certo
Errado
https://www.tecconcursos.com.br/questoes/2613451
https://www.tecconcursos.com.br/questoes/1505880
459) 
460) 
www.tecconcursos.com.br/questoes/1505884
CEBRASPE (CESPE) - AnDR (CODEVASF)/CODEVASF/Tecnologia da Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurançada
Informação
Considerando as disposições das normas ISO 27001, ISO 27002 e NBR ISO/IEC 27005, julgue o
item a seguir.
 
Os tomadores de decisão podem aceitar riscos que não satisfaçam os critérios formalmente estabelecidos
pela organização para a aceitação de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/1510127
CEBRASPE (CESPE) - ACE (TCE RJ)/TCE RJ/Controle Externo/Tecnologia da
Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da NBR ISO/IEC 27005:2011, julgue o item subsecutivo.
A referida norma não inclui um método específico para a gestão de riscos de segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/1510128
https://www.tecconcursos.com.br/questoes/1505884
https://www.tecconcursos.com.br/questoes/1510127
https://www.tecconcursos.com.br/questoes/1510128
461) 
462) 
CEBRASPE (CESPE) - ACE (TCE RJ)/TCE RJ/Controle Externo/Tecnologia da
Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da NBR ISO/IEC 27005:2011, julgue o item subsecutivo.
 
A norma em questão é abrangente e se aplica a vários tipos de organização, tais como agências
governamentais e organizações sem fins lucrativos.
Certo
Errado
www.tecconcursos.com.br/questoes/1628745
CEBRASPE (CESPE) - Ana (APEX)/ApexBrasil/Operações e Segurança de Tecnologia da
Informação e Comunicação/"Sem Especialidade"/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Conforme a ABNT NBR ISO/IEC 27005, há um alinhamento do processo do sistema de gestão de
segurança da informação e do processo de gestão de riscos de segurança da informação. A fase prevista
para manter e melhorar o processo de gestão de riscos de segurança da informação está alinhada à fase
do processo do sistema de gestão de segurança da informação na etapa
a) agir.
b) verificar.
c) planejar.
d) executar.
https://www.tecconcursos.com.br/questoes/1628745
463) 
www.tecconcursos.com.br/questoes/1674447
OBJETIVA CONCURSOS - Ana (Sta Maria RS)/Pref Sta Maria (RS)/Sistemas/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em conformidade com a NBR ISO/IEC 27005, sobre os termos e as definições, numerar a 2ª
coluna de acordo com a 1ª e, após, assinalar a alternativa que apresenta a sequência CORRETA:
 
(1) Impacto.
 
(2) Comunicação do risco.
 
(3) Transferência do risco.
 
(4) Identificação de riscos.
 
(_) Processo para localizar, listar e caracterizar elementos do risco.
 
(_) Troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras
partes interessadas.
 
(_) Compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a
um risco.
 
(_) Mudança adversa no nível obtido dos objetivos de negócios.
https://www.tecconcursos.com.br/questoes/1674447
464) 
a) 4 - 2 - 3 - 1.
b) 1 - 2 - 3 - 4.
c) 2 - 1 - 4 - 3.
d) 3 - 1 - 2 - 4.
e) 4 - 3 - 1 - 2.
www.tecconcursos.com.br/questoes/1674448
OBJETIVA CONCURSOS - Ana (Sta Maria RS)/Pref Sta Maria (RS)/Sistemas/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a NBR ISO/IEC 27005, em relação à definição do contexto, sobre os critérios
básicos, analisar a sentença abaixo:
 
Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O
método não deve ser diferente para cada iteração do processo (1ª parte). Convém que um método de
gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, tais
como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco (2ª parte).
Convém que a organização avalie se os recursos necessários estão disponíveis para definir e implementar
políticas e procedimentos, incluindo implementação dos controles selecionados (3ª parte).
 
A sentença está:
a) Correta somente em sua 2ª parte.
b) Correta somente em suas 1ª e 2ª partes.
c) Correta somente em suas 1ª e 3ª partes.
d) Correta somente em suas 2ª e 3ª partes.
https://www.tecconcursos.com.br/questoes/1674448
465) 
466) 
e) Totalmente correta.
www.tecconcursos.com.br/questoes/1704633
CEBRASPE (CESPE) - AJ (PGDF)/PG DF/Analista de Sistema/Desenvolvimento de
Sistema/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando as normas que regulam a segurança da informação e o sistema de gestão de
segurança da informação (SGSI), julgue o próximo item.
 
De acordo com a ISO/IEC 27005, os responsáveis pela estimativa de riscos devem entregar uma lista de
riscos na qual constem níveis de valores designados com base nos cenários de incidentes e nas
consequências deles para os ativos e o negócio.
Certo
Errado
www.tecconcursos.com.br/questoes/1704687
CEBRASPE (CESPE) - AJ (PGDF)/PG DF/Analista de Sistema/Desenvolvimento de
Sistema/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item
a seguir.
 
https://www.tecconcursos.com.br/questoes/1704633
https://www.tecconcursos.com.br/questoes/1704687
467) 
Para a identificação de riscos, a norma NBR ISO/IEC 27005 recomenda que se incluam apenas os riscos
cujas fontes sejam evidentes e estejam sob o controle da organização.
Certo
Errado
www.tecconcursos.com.br/questoes/1726092
OBJETIVA CONCURSOS - ASI (Horizontina)/Pref Horizontina/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a ISO 27005 - Gestão de riscos em TI, sobre os critérios para a aceitação do risco,
convém que os seguintes tópicos, entre outros, sejam considerados durante o desenvolvimento, como:
 
I. Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível
desejável de risco; porém, precauções podem ser tomadas por gestores seniores para aceitar riscos
acima desse nível, desde que sob circunstâncias definidas.
 
II. Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado e o
risco estimado.
 
III. Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco,
por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem
não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isso for especificado como
um requisito contratual.
 
Está(ão) CORRETO(S):
a) Somente o item I.
https://www.tecconcursos.com.br/questoes/1726092
468) 
b) Somente o item III.
c) Somente os itens I e II.
d) Somente os itens II e III.
e) Todos os itens.
www.tecconcursos.com.br/questoes/1753226
IADES - Ana Sis (CFQ)/CFQ/Ênfase em Sistemas e Processos/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A respeito da Norma NBR ISO/IEC NBR 27.005, assinale a alternativa correta.
a) A norma estabelece uma escala de aceitação de riscos, que deve ser seguida pelas organizações.
b) Os critérios de aceitação de risco não podem ser diferenciados pelo tempo de existência do risco,
apenas pelo valor do impacto do evento.
c) Os critérios de aceitação de risco devem ser expressos como razão entre o lucro e o risco
estimado.
d) É possível aceitar um risco, mesmo que as ações de tratamento desse risco ainda não tenham
sido tomadas, desde que haja um compromisso de ações em um período de tempo estipulado.
e) Os critérios de aceitação de risco são independentes das políticas e das metas da organização,
vinculando-se a fatores financeiros, sociais e de reputação.
www.tecconcursos.com.br/questoes/1753227
IADES - Ana Sis (CFQ)/CFQ/Ênfase em Sistemas e Processos/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/1753226
https://www.tecconcursos.com.br/questoes/1753227469) 
470) 
Considerando os conceitos da NBR ISO/IEC 27.005, quanto à análise dos riscos, assinale a
alternativa correta.
a) A valoração dos ativos pode ser determinada de duas maneiras: pela valoração da reposição do
ativo e as consequências ao negócio relacionadas à perda ou pelo comprometimento do ativo.
b) A análise de riscos qualitativa é realizada com valores numéricos, de preferência com dados
históricos de incidentes.
c) A análise qualitativa de riscos depende da exatidão e da integridade dos dados.
d) Uma das etapas da análise de riscos é a análise das consequências. Nessa fase, é importante
analisar, de forma quantitativa, as consequências.
e) Na avaliação de probabilidade, designam-se valores para a probabilidade e para as consequências
de um risco.
www.tecconcursos.com.br/questoes/1753349
IADES - Ana Sis (CFQ)/CFQ/Ênfase em Infraestrutura/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com base nos conceitos da NBR ISO/IEC 27.005, acerca da análise dos riscos e do tratamento do
risco, assinale a alternativa correta.
a) No tratamento do risco, é possível admitir mais de uma opção de tratamento para um risco.
b) Para cada risco há uma forma de tratamento, não admitindo que um tratamento sirva a mais de
um risco.
c) Na retenção do risco, convém que ele seja gerenciado pela inclusão, exclusão ou alteração dos
controles, para que o risco seja considerado aceitável.
d) Quando os riscos são considerados elevados e os custos da implementação do tratamento do risco
excederem os benefícios, pode-se modificar o risco.
https://www.tecconcursos.com.br/questoes/1753349
471) 
e) Quando os riscos são considerados elevados e os custos da implementação do tratamento do risco
excederem os benefícios, deve-se reter o risco e modificá-lo.
www.tecconcursos.com.br/questoes/1758768
QUADRIX - TNS (CRM MS)/CRM MS/Analista de Informática/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Um analista de informática recebeu uma lista com os riscos priorizados, em relação aos cenários de
incidentes que podem levar a esses riscos, de acordo com os critérios de avaliação de riscos. Com base
nesse caso hipotético, é correto afirmar que ele deverá
a) interromper todos os processos com riscos mais críticos e só colocá-los em operação novamente
após os riscos terem sido eliminados.
b) compartilhar os riscos com as partes envolvidas, como, por exemplo, com os fornecedores, com
os departamentos internos e, principalmente, com o setor de TI.
c) contratar uma consultoria externa especializada para lidar com os riscos, contratar um seguro para
cobrir os possíveis danos referentes aos riscos e investir em equipamentos e capacitação para evitar
os riscos.
d) adotar ações de contorno para os riscos iminentes, comunicar a alta gestão e evitar a
comunicação dos riscos a outros setores para não gerar preocupações no ambiente corporativo.
e) selecionar controles para modificar, reter, evitar ou compartilhar os riscos e definir um plano de
tratamento de riscos.
www.tecconcursos.com.br/questoes/1790721
CEBRASPE (CESPE) - AFCA (SEFAZ AL)/SEFAZ AL/2021
https://www.tecconcursos.com.br/questoes/1758768
https://www.tecconcursos.com.br/questoes/1790721
472) 
473) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca de criptografia, políticas de segurança e gestão de riscos, julgue o item a seguir, com base
nas NBR ISO/IEC 27001, 27002 e 27005.
 
Suponha que, no processo de identificação de vulnerabilidades em uma organização, várias
vulnerabilidades encontradas não possuíssem ameaças correspondentes relacionadas e não tenham sido
identificados controles a serem implantados. Nessa situação, de acordo com a NBR ISO/IEC 27005, o
gestor de segurança da informação agirá corretamente se determinar, formalmente, que tais
vulnerabilidades sejam ignoradas.
Certo
Errado
www.tecconcursos.com.br/questoes/1806003
FGV - Ana (FunSaúde CE)/FunSaúde CE/TI e Infraestrutura de Informática/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR 27005, sobre Tecnologia da informação — Técnicas de
segurança — Gestão de riscos de segurança da informação, o Processo de Avaliação de Riscos inclui as
seguintes etapas:
a) análise de riscos, avaliação de riscos e tratamento dos riscos.
b) análise de riscos, tratamento dos riscos e avaliação de riscos residuais.
c) avaliação de riscos residuais, análise de riscos e avaliação de riscos.
d) identificação de riscos, análise de riscos e avaliação de riscos.
e) identificação de riscos, análise de riscos e tratamento de riscos.
https://www.tecconcursos.com.br/questoes/1806003
474) 
475) 
www.tecconcursos.com.br/questoes/1813617
CEBRASPE (CESPE) - ATM (Pref Aracaju)/Pref Aracaju/Tecnologia da Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma NBR ISO/IEC 27005:2011, que fornece diretrizes para o processo de gestão de riscos de
segurança da informação,
a) está de acordo com os conceitos especificados na ABNT NBR ISO/IEC 27003, que lida com a
gestão de riscos.
b) se restringe, em termos de aplicação, a empreendimentos governamentais.
c) considera que apenas o método padronizado Risk Evaluation pode ser aplicado,
independentemente da abordagem da gestão de risco.
d) pode necessitar, se o risco não for aceitável durante seu ciclo de aplicação, de outras iterações do
processo de avaliação de riscos, com mudanças nas variáveis do contexto.
e) não estabelece critério ou consideração sobre entrada de dados no processo de gestão de risco.
www.tecconcursos.com.br/questoes/1857352
CEBRASPE (CESPE) - AJ (TJ RJ)/TJ RJ/Tecnologia da Informação/Analista de Projetos/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A gestão de riscos é um conjunto de atividades coordenadas para permitir que a organização se
prepare para lidar com os riscos, de forma sistemática e customizada, conforme cada situação. No caso
da NBR ISO/IEC 27005, a gestão de riscos é necessária para a eficácia
https://www.tecconcursos.com.br/questoes/1813617
https://www.tecconcursos.com.br/questoes/1857352
476) 
a) da elaboração de planos de negócio.
b) do modelo de governança da TI.
c) da análise de impacto ao negócio.
d) do sistema de gestão da qualidade em TI.
e) do sistema de gestão da segurança da informação.
www.tecconcursos.com.br/questoes/1857353
CEBRASPE (CESPE) - AJ (TJ RJ)/TJ RJ/Tecnologia da Informação/Analista de Projetos/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No processo de gestão de riscos da segurança da informação, segundo a NBR ISO/IEC 27005,
identificação, análise e avaliação de riscos são atividades relativas
a) ao processo de avaliação de riscos.
b) à definição de contexto.
c) à identificação de vulnerabilidades.
d) a metodologias de análise quantitativa ou qualitativa de riscos.
e) a identificação e valoração dos ativos e avaliação do impacto.
www.tecconcursos.com.br/questoes/1857357
CEBRASPE (CESPE) - AJ (TJ RJ)/TJ RJ/Tecnologia da Informação/Analista de Projetos/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/1857353
https://www.tecconcursos.com.br/questoes/1857357
477) 
478) 
Segundo a NBR ISO/IEC 27005, modificar, reter, evitar ou compartilhar riscos são opções potenciais
para adoção da atividade do processo de gestão de riscos denominada
a) avaliação de riscos.
b) comunicação dos riscos.
c) análise de riscos.
d) tratamento dos riscos.
e) análise crítica dos riscos.
www.tecconcursos.com.br/questoes/1857362
CEBRASPE (CESPE) - AJ (TJ RJ)/TJ RJ/Tecnologia da Informação/Analista de Projetos/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança daInformação
Segundo a NBR ISO/IEC 27005, a identificação de controles existentes, de ameaças e de
vulnerabilidades é atividade constante do processo de gestão de riscos denominada
a) identificação de riscos.
b) definição do contexto.
c) organização para a gestão de riscos.
d) estimativa de riscos.
e) avaliação de consequências.
www.tecconcursos.com.br/questoes/1867136
https://www.tecconcursos.com.br/questoes/1857362
https://www.tecconcursos.com.br/questoes/1867136
479) 
480) 
Instituto Consulplan - Ana Jud (TJM MG)/TJM MG/Analista de Tecnologia da
Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
“Combinação da probabilidade (chance da ameaça se concretizar) de um evento ocorrer e de suas
consequências para a organização.”
 
Trata-se de:
a) Risco.
b) Ameaça.
c) Vulnerabilidade.
d) Incidente de segurança.
www.tecconcursos.com.br/questoes/2028448
OBJETIVA CONCURSOS - Ana (Venâncio A)/Pref Venâncio Aires/Tecnologia da
Informação/2021
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a ISO/IEC 27005 - Gestão de riscos em TI, em relação às diretrizes para
implementação da identificação das ameaças, marcar C para as afirmativas Certas, E para as Erradas e,
após, assinalar a alternativa que apresenta a sequência CORRETA:
 
( ) Uma ameaça tem o potencial de comprometer ativos (tais como informações, processos e
sistemas) e, por isso, não compromete as organizações.
https://www.tecconcursos.com.br/questoes/2028448
481) 
 
( ) Ameaças podem ser de origem natural ou humana e podem ser acidentais ou intencionais.
 
( ) Algumas ameaças podem afetar mais de um ativo. Nesses casos, elas podem provocar impactos
diferentes, dependendo de quais ativos são afetados.
a) E - C - C.
b) E - E - C.
c) C - C - E.
d) C - C - C.
e) C - E - E.
www.tecconcursos.com.br/questoes/1120346
CEBRASPE (CESPE) - AJ (TJ PA)/TJ PA/Análise de Sistema/Suporte/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Texto 4A04-I
Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente
informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de
logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido,
identificaram-se as seguintes ações do hacker.
I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da
instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.
https://www.tecconcursos.com.br/questoes/1120346
II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais
por fictícios.
III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a
partir do servidor web e utilização da técnica de ataques de dicionário.
IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para
efetuar a extração das informações pessoais de colaboradores e servidores.
A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo
sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram
conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados
entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos
controles de segurança da informação.
 
Com base na NBR ISO/IEC n.º 27005, é correto afirmar que, na situação hipotética descrita no texto
4A04-I, ocorreu uma falha no ciclo de vida da gestão de risco, na fase
a) identificação do risco.
b) avaliação do risco.
c) definição do contexto do risco.
d) tratamento do risco.
e) comunicação e consulta do risco.
www.tecconcursos.com.br/questoes/1239026
https://www.tecconcursos.com.br/questoes/1239026
482) 
483) 
FCC - Ana Leg (ALAP)/ALAP/Atividade de Tecnologia da Informação/Técnico de Segurança
da Informação/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a norma ABNT NBR ISO/IEC 27005:2011, a atividade de tratamento de risco, dentro do
processo de gestão de riscos de segurança da informação, considera como opções de tratamento do
risco:
a) modificação do risco, retenção do risco, ação de evitar o risco e compartilhamento do risco.
b) análise do risco, classificação do risco, eliminação do risco e registro de resolução do risco.
c) assumir o risco, evitar o risco, eliminar o risco e ignorar o risco.
d) delegação do risco, absorção do risco, eliminação do risco e integração do risco.
e) planejar ações para conter o risco, executar ações para eliminar o risco, registrar ações de
aprendizado com o risco e implementar ações para evitar a recorrência do risco.
www.tecconcursos.com.br/questoes/1393171
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos da segurança da informação, julgue o item subsecutivo, com base na
norma ISO/IEC 27005.
https://www.tecconcursos.com.br/questoes/1393171
484) 
 
Uma aplicação de TI ou um processo de negócio são exemplos de escopo da gestão de riscos da
segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/1393174
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos da segurança da informação, julgue o item subsecutivo, com base na
norma ISO/IEC 27005.
 
Os responsáveis pela gestão de riscos na organização são os próprios donos dos ativos ou os
responsáveis pelos contextos ou escopo da gestão de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/1393176
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/1393174
https://www.tecconcursos.com.br/questoes/1393176
485) 
486) 
Acerca da gestão de riscos da segurança da informação, julgue o item subsecutivo, com base na
norma ISO/IEC 27005.
 
A identificação de ameaças, atividade crucial da análise de riscos, deve estar restrita àquelas ameaças
que existem dentro da organização.
Certo
Errado
www.tecconcursos.com.br/questoes/1393178
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos da segurança da informação, julgue o item subsecutivo, com base na
norma ISO/IEC 27005.
 
A identificação dos controles existentes, para assegurar se são ou não efetivos, não deve limitar-se
apenas aos documentos como planos de tratamentos de riscos, devendo ser feita também junto às
pessoas responsáveis pela segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/1393180
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
https://www.tecconcursos.com.br/questoes/1393178
https://www.tecconcursos.com.br/questoes/1393180
487) 
488) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos da segurança da informação, julgue o item subsecutivo, com base na
norma ISO/IEC 27005.
 
O processo de tratamentode riscos deve ter como entrada uma lista dos riscos classificados por
prioridade de tratamento.
Certo
Errado
www.tecconcursos.com.br/questoes/1393182
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de riscos da segurança da informação, julgue o item subsecutivo, com base na
norma ISO/IEC 27005.
 
A avaliação dos riscos deve ser feita com base em uma lista dos riscos com valores já atribuídos a eles e
com critérios de avaliação já definidos.
Certo
Errado
www.tecconcursos.com.br/questoes/1393298
https://www.tecconcursos.com.br/questoes/1393182
https://www.tecconcursos.com.br/questoes/1393298
489) 
490) 
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a norma ISO/IEC 27005, julgue o item a seguir, no que se refere ao alinhamento
entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da
informação (SGSI).
 
A implementação do plano de tratamento de riscos está alinhada com a fase agir do SGSI.
Certo
Errado
www.tecconcursos.com.br/questoes/1393323
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a norma ISO/IEC 27005, julgue o item a seguir, no que se refere ao alinhamento
entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da
informação (SGSI).
 
As atividades analisar e avaliar riscos estão alinhadas com a fase planejar do SGSI.
Certo
Errado
https://www.tecconcursos.com.br/questoes/1393323
491) 
492) 
www.tecconcursos.com.br/questoes/1393325
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a norma ISO/IEC 27005, julgue o item a seguir, no que se refere ao alinhamento
entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da
informação (SGSI).
 
Manter e melhorar o processo de gestão de riscos da segurança da informação está alinhado com a fase
verificar do SGSI.
Certo
Errado
www.tecconcursos.com.br/questoes/1393327
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Gestão de Projetos/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a norma ISO/IEC 27005, julgue o item a seguir, no que se refere ao alinhamento
entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da
informação (SGSI).
 
O tratamento do risco residual está alinhado com a fase executar do SGSI.
https://www.tecconcursos.com.br/questoes/1393325
https://www.tecconcursos.com.br/questoes/1393327
493) 
494) 
Certo
Errado
www.tecconcursos.com.br/questoes/1393669
CEBRASPE (CESPE) - ProTI (ME)/ME/Atividades Técnicas de Complexidade Gerencial, de
Tecnologia da Informação e de Engenharia Sênior/Segurança da Informação e Proteção de
Dados/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o seguinte item, com relação a padrões de interoperabilidade (ePING), segurança da
informação e segurança da aplicação.
 
No que se refere à segurança da informação, segundo a norma ISO/IEC 27005:2019, existem quatro
opções disponíveis para o tratamento de risco: modificação do risco, exclusão do risco, ação de evitar o
risco e compartilhamento do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/1486633
DIRENS Aeronáutica - EAOAp (CIAAR)/CIAAR/Análise de Sistemas/2020
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A identificação, a valoração e a avaliação do impacto dos ativos estão no projeto de revisão ABNT
NBR ISO/ IEC 27005. Nesse informativo é dito que, para estabelecer o valor de seus ativos, uma
https://www.tecconcursos.com.br/questoes/1393669
https://www.tecconcursos.com.br/questoes/1486633
495) 
organização precisa identificá-los num nível de detalhamento adequado.
 
Dos ativos a seguir, qual é do tipo primário?
a) Hardware.
b) Informação.
c) Instalações físicas.
d) Recursos humanos.
www.tecconcursos.com.br/questoes/851667
VUNESP - Ass Inf (CM Tatuí)/CM Tatuí/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A Norma NBR ISO/IEC 27005 (Tecnologia da Informação – Técnicas de segurança – Gestão de
riscos da segurança da informação) define, em sua seção de termos e definições, o risco residual como
sendo
a) a magnitude do risco, considerando as consequências e suas probabilidades.
b) o risco remanescente após o tratamento do risco inicialmente observado.
c) o processo de compreender a natureza do risco.
d) o processo global de identificação, análise e avaliação de riscos.
e) o processo de busca, reconhecimento e descrição de riscos.
www.tecconcursos.com.br/questoes/851668
VUNESP - Ass Inf (CM Tatuí)/CM Tatuí/2019
https://www.tecconcursos.com.br/questoes/851667
https://www.tecconcursos.com.br/questoes/851668
496) 
497) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A Norma NBR ISO/IEC 27005 (Tecnologia da Informação – Técnicas de segurança – Gestão de
riscos da segurança da informação) estabelece como uma das entradas, em sua seção de Identificação
dos Ativos,
a) a lista de componentes, incluindo seus responsáveis.
b) as informações sobre ameaças.
c) o plano de tratamento do risco.
d) uma lista de cenários de incidentes relevantes.
e) uma lista de riscos com prioridades.
www.tecconcursos.com.br/questoes/856421
CEBRASPE (CESPE) - ACI (COGE CE)/COGE CE/Auditoria/Tecnologia da Informação/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a NBR ISO/IEC 27005, a opção de tratamento de risco que consiste na possibilidade de
aceitação do ônus da perda ou do benefício do ganho associado a determinado risco é denominada
a) redução do risco.
b) retenção do risco.
c) ação de evitar o risco.
d) compartilhamento do risco.
e) transferência do risco.
https://www.tecconcursos.com.br/questoes/856421
498) 
499) 
www.tecconcursos.com.br/questoes/856678
CEBRASPE (CESPE) - ACI (COGE CE)/COGE CE/Auditoria/Tecnologia da Informação/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com fundamento na NBR ISO/IEC 27001 e na NBR ISO/IEC 27005, uma organização decidiu
implantar um sistema de gestão de segurança da informação (SGSI), a fim de apoiar o processo de
gestão dos riscos, os quais foram listados de acordo com o escopo estabelecido para o SGSI.
Nessa situação, após os riscos serem listados, deve ser executada a fase de
a) definir contexto dos riscos.
b) valorar os ativos.
c) tratar os riscos.
d) definir critérios de aceitação dos riscos.
e) compartilhar os riscos.
www.tecconcursos.com.br/questoes/1019191
FUNDATEC - Tec (Pref Campo Bom)/Pref Campo Bom/Informática/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma NBR-ISO/IEC 27005 serve especificamente para:
a) Gestão de Riscos de Segurança.
b) Gestão de Projetos.
c) Aplicação de Modelagem.
d) Gestão de Processos de Segurança.
https://www.tecconcursos.com.br/questoes/856678
https://www.tecconcursos.com.br/questoes/1019191500) 
501) 
e) Avaliação de Processos de Segurança.
www.tecconcursos.com.br/questoes/1037025
CEBRASPE (CESPE) - Ana TI (TCE-RO)/TCE RO/Desenvolvimento de Sistemas/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a NBR ISO/IEC n.º 27005:2011, o processo para gestão de riscos de segurança da
informação consiste em uma série de etapas, e a primeira delas é
a) definir o contexto.
b) avaliar os riscos.
c) tratar os riscos.
d) aceitar as oportunidades.
e) monitorar os riscos.
www.tecconcursos.com.br/questoes/1038683
CEBRASPE (CESPE) - AJ (TJ AM)/TJ AM/Analista de Sistemas/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o próximo item, relativo à gestão de segurança da informação.
 
De acordo com a norma NBR ISO/IEC 27005, considera-se risco residual aquele remanescente após o
tratamento do risco, podendo o risco residual conter riscos não identificados.
Certo
https://www.tecconcursos.com.br/questoes/1037025
https://www.tecconcursos.com.br/questoes/1038683
502) 
Errado
www.tecconcursos.com.br/questoes/1184457
OBJETIVA CONCURSOS - Ana (CM Chapecó)/CM Chapecó/Informática/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em relação ao disposto na ISO 27005 - Gestão de Riscos em TI, analisar a sentença abaixo:
 
Convém que o contexto para gestão de riscos de segurança da informação seja estabelecido, o que
envolve
a definição dos critérios básicos necessários para a gestão de riscos de segurança da informação, a
definição do escopo e dos limites e o estabelecimento de uma organização apropriada para operar a
gestão de riscos de segurança da informação (1ª parte). É essencial determinar o propósito da gestão de
riscos de segurança da informação, pois ele afeta o processo em geral e a definição do contexto em
particular. Esse propósito pode ser, entre outros, a conformidade legal e a evidência da realização dos
procedimentos corretos (2ª parte). Convém que a organização avalie se os recursos necessários estão
disponíveis para, por exemplo, executar a análise/avaliação de riscos e estabelecer um plano de
tratamento dos mesmos (3ª parte).
 
A sentença está:
a) Totalmente correta.
b) Correta somente em sua 1ª parte.
c) Correta somente em sua 2ª parte.
d) Correta somente em sua 3ª parte.
https://www.tecconcursos.com.br/questoes/1184457
503) 
e) Totalmente incorreta.
www.tecconcursos.com.br/questoes/1184460
OBJETIVA CONCURSOS - Ana (CM Chapecó)/CM Chapecó/Informática/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em conformidade com a ISO 27005 - Gestão de Riscos em TI, numerar a 2ª coluna de acordo com
a 1ª e, após, assinalar a alternativa que apresenta a sequência CORRETA:
 
(1) Riscos de segurança da informação.
(2) Impacto.
(3) Ação de evitar o risco.
 
( ) Mudança adversa no nível obtido dos objetivos de negócios.
 
( ) Decisão de não se envolver ou agir de forma a se retirar de uma situação de risco.
 
( ) A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um
conjunto de ativos, prejudicando a organização.
 
a) 2 - 1 - 3.
b) 1 - 3 - 2.
c) 1 - 2 - 3.
d) 2 - 3 - 1.
https://www.tecconcursos.com.br/questoes/1184460
504) 
e) 3 - 2 - 1.
www.tecconcursos.com.br/questoes/1216865
OBJETIVA CONCURSOS - Ana TI (FHSTE)/FHSTE/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A Norma ISO 27005 fornece diretrizes para o processo de Gestão de Riscos de Segurança da
Informação de uma organização. Em relação aos termos e às definições da Norma ISO 27005, numerar a
2ª coluna de acordo com a 1ª e, após, assinalar a alternativa que apresenta a sequência CORRETA:
 
(1) Comunicação do risco.
 
(2) Estimativa de riscos.
 
(3) Transferência do risco.
 
(4) Retenção do risco.
 
(---) Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.
 
(---) Troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras
partes interessadas.
 
(---) Processo utilizado para atribuir valores à probabilidade e às consequências de um risco.
 
(---) Compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho
associado a um risco.
https://www.tecconcursos.com.br/questoes/1216865
505) 
a) 4 - 1 - 2 - 3.
b) 1 - 2 - 3 - 4.
c) 2 - 3 - 4 - 1.
d) 3 - 4 - 1 - 2.
www.tecconcursos.com.br/questoes/1740170
PROGEPE UFPE - Ana (UFPE)/UFPE/Tecnologia da Informação/Suporte e Rede/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Qual alternativa é uma das opções de tratamento do risco presente na norma ABNT NBR ISO/IEC
nº 27005:2011?
a) Identificação de riscos
b) Definição do contexto
c) Estimativa de risco
d) Transferência de risco
e) Comunicação do risco
www.tecconcursos.com.br/questoes/2118960
SUGEP UFRPE - Tec (UFRPE)/UFRPE/Tecnologia da Informação/Segurança da
Informação/2019
https://www.tecconcursos.com.br/questoes/1740170
https://www.tecconcursos.com.br/questoes/2118960
506) 
507) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma NBR ISO/IEC 27005:2011 apresenta quatro opções possíveis para o tratamento de riscos.
Quando os riscos identificados são considerados demasiadamente elevados e quando os custos da
implementação de outras opções de tratamento do risco excederem os benefícios, a opção indicada,
segundo a referida norma, para o tratamento do risco é a:
a) modificação do risco.
b) compartilhamento do risco.
c) retenção do risco.
d) eliminação do risco.
e) ação de evitar o risco.
www.tecconcursos.com.br/questoes/2118962
SUGEP UFRPE - Tec (UFRPE)/UFRPE/Tecnologia da Informação/Segurança da
Informação/2019
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a norma NBR ISO/IEC 27005:2011, deve-se assegurar que, após o tratamento dos riscos,
os riscos residuais sejam explicitamente aceitos pelos gestores da organização.
 
https://www.tecconcursos.com.br/questoes/2118962
508) 
Essa ação, segundo a referida norma, dentro do processo de gestão de riscos de segurança da
informação, ocorre na atividade de:
a) análise do risco.
b) avaliação do risco.
c) decisão do risco.
d) aceitação do risco.
e) julgamento do risco.
www.tecconcursos.com.br/questoes/635863
FGV - Ana TI (BANESTES)/BANESTES/Desenvolvimento de Sistemas/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Sobre gestão e análise de Riscos de TI, com base na norma ABNT NBR ISO/IEC 27005:2011,
analise as afirmativas a seguir.
I. Requisitos regulatórios são irrelevantes ao avaliar os riscos de segurança da informação na
organização.
II. As expectativas e percepções das partes interessadas devem ser consideradas ao estabelecerem
os critérios para avaliação de riscos.
III. A análise de riscos deve ser empreendida independentemente da criticidade dos ativos.
https://www.tecconcursos.com.br/questoes/635863
509) 
Está correto o que se afirma em:
a) somente I;
b) somente II;
c) somente III;
d) somente II e III;
e) I, II e III.
www.tecconcursos.com.br/questoes/635915
FGV - Ana TI (BANESTES)/BANESTES/Suporte e Infraestrutura/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC 27005:2011, as quatros opções disponíveis para o
tratamento do risco são:
a) antecipar, adiar, evitar, ignorar;
b) modificar, reter, evitar, compartilhar;
c) modificar, reparar, aceitar, impedir;
d) antecipar, reter, aceitar, compartilhar;
e) antecipar, reparar, evitar, impedir.
www.tecconcursos.com.br/questoes/649525
FCC - Tec Gest (SABESP)/SABESP/Informática/2018
https://www.tecconcursos.com.br/questoes/635915
https://www.tecconcursos.com.br/questoes/649525510) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considere que um Técnico participa da equipe de Gerenciamento de Riscos da empresa. Na etapa
de identificação de ameaças/riscos dois grandes grupos foram definidos, nos quais 8 grandes riscos
foram identificados:
Grupo 1: Reservação de Água
1. ... I...
2. Insuficiência de reservação
3. Falha dos equipamentos e instalações operacionais
4. ... II...
Grupo 2: Operação do Sistema de Distribuição
5. Comprometimento da qualidade da água distribuída
6. ... III...
7. Falha dos equipamentos e instalações operacionais
8. Indisponibilidade de energia elétrica
Com base no exposto acima, é correto afirmar que
a) não é possível que haja riscos em comum nos dois grupos, portanto, há falha na identificação dos
riscos.
b) II não pode ser preenchido com Indisponibilidade de energia elétrica.
c) I pode corresponder à Contaminação da água tratada e III à Rompimentos ou danos à rede de
distribuição.
d) a causa (ou fator de risco) da ameaça 2 é unicamente devida a fatores climáticos.
511) 
512) 
e) uma causa (ou fator de risco) da ameaça 5 pode ser aumento anormal da demanda.
www.tecconcursos.com.br/questoes/660161
FCC - AFT I (São Luís)/Pref SL/Tecnologia da Informação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A Norma ABNT NBR ISO/IEC 27005:2011 recomenda que o processo de avaliação de riscos de
segurança da informaçãoreceba como entrada
a) os critérios básicos, o escopo e os limites da avaliação de riscos e a organização do processo de
gestão de riscos de segurança da informação que se está definindo.
b) a relação de riscos identificados e as ações para responder adequadamente a cada risco de
segurança da informação.
c) a relação de riscos identificados, a probabilidade de cada risco ocorrer, o impacto de cada risco no
negócio e as ações para mitigar estes riscos.
d) o plano de tratamento de riscos, o plano de continuidade de negócios e a política de segurança da
informação.
e) o escopo da avaliação de riscos, a matriz de probabilidade e impacto de cada risco e o termo de
ciência da alta direção em relação aos riscos.
www.tecconcursos.com.br/questoes/668417
FGV - Ana (MPE AL)/MPE AL/Administrador de Banco de Dados/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
O Processo de Gestão de Riscos de Segurança da Informação é formado por diversas etapas.
https://www.tecconcursos.com.br/questoes/660161
https://www.tecconcursos.com.br/questoes/668417
513) 
De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica as atividades da etapa
Processo de Avaliação de Riscos.
a) Monitoramento e análise crítica de riscos.
b) Tratamento e aceitação do risco.
c) Identificação, análise e avaliação de riscos.
d) Comunicação, compartilhamento e consulta do risco.
e) Modificação, retenção e ações para evitar os riscos.
www.tecconcursos.com.br/questoes/668977
FGV - Ana (MPE AL)/MPE AL/Administrador de Banco de Dados/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No contexto da norma internacional ISO/IEC 27005, o processo de gestão de risco é definido por
oito atividades coordenadas, das quais sete estão listadas a seguir.
Definição do contexto
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Tratamento do risco
Aceitação do risco
Monitoramento e análise crítica de riscos
Assinale a opção que apresenta a atividade que completa a lista acima.
https://www.tecconcursos.com.br/questoes/668977
514) 
a) Administração do risco.
b) Comunicação do risco.
c) Eliminação do risco.
d) Incorporação do risco.
e) Responsabilização do risco.
www.tecconcursos.com.br/questoes/668990
FGV - Ana (MPE AL)/MPE AL/Administrador de Banco de Dados/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No contexto da norma internacional ISO/IEC 27005, o processo de gestão de risco é definido por
oito atividades coordenadas, das quais sete estão listadas a seguir.
Identificação de riscos
Estimativa de riscos
Avaliação de riscos
Tratamento do risco
Aceitação do risco
Comunicação do risco
Monitoramento e análise crítica de riscos
Assinale a opção que indica a atividade que completa a lista acima.
a) Administração do risco.
b) Definição do contexto.
c) Eliminação do risco.
https://www.tecconcursos.com.br/questoes/668990
515) 
516) 
d) Incorporação do risco.
e) Responsabilização do risco.
www.tecconcursos.com.br/questoes/669028
FGV - Ana (MPE AL)/MPE AL/Administrador de Rede/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
O processo de gestão de riscos de segurança da informação consiste em diversas atividades que
podem ter um enfoque iterativo visando seu aprofundamento e detalhamento.
De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica a atividade que pode ter
um enfoque iterativo.
a) Definição do contexto.
b) Tratamento do risco.
c) Aceitação do risco.
d) Comunicação e consulta do risco.
e) Monitoramento e análise crítica de riscos.
www.tecconcursos.com.br/questoes/669034
FGV - Ana (MPE AL)/MPE AL/Administrador de Rede/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No desenvolvimento dos critérios básicos para a avaliação, o impacto e a aceitação de riscos
consideram, entre outros itens, o valor estratégico do processo, a criticidade dos ativos de informação, a
https://www.tecconcursos.com.br/questoes/669028
https://www.tecconcursos.com.br/questoes/669034
517) 
perda de oportunidades e os danos à reputação.
De acordo com a ABNT NBR ISO/IEC 27005:2011, o desenvolvimento desses critérios básicos no
processo de gestão de riscos de segurança da informação, é realizado
a) na definição do contexto.
b) no processo de avaliação de riscos.
c) no tratamento do risco.
d) na aceitação do risco.
e) no monitoramento e na análise crítica de riscos.
www.tecconcursos.com.br/questoes/670173
FGV - Ana (MPE AL)/MPE AL/Desenvolvimento de Sistemas/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No contexto da norma internacional ISO/IEC 27005, o processo de gestão de risco é definido por
oito atividades coordenadas, das quais sete estão listadas a seguir.
Definição do contexto
Identificação
Estimativa
Avaliação
Tratamento
Monitoramento e análise crítica
Comunicação
https://www.tecconcursos.com.br/questoes/670173
518) 
Assinale a opção que apresenta a atividade que completa a lista acima.
a) Aceitação do risco.
b) Administração do risco.
c) Eliminação do risco.
d) Incorporação do risco.
e) Responsabilização do risco.
www.tecconcursos.com.br/questoes/690144
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ISO ABNT NBR ISO/IEC 27005:2011, em seu Anexo E, sugere abordagens para o
processo de avaliação de riscos de segurança da informação. O método de ordenação de ameaças, em
função dos riscos, é baseado em uma tabela ou matriz em que são listadas todas as ameaças e, para
cada uma delas, avaliam-se numericamente ______________ e ___________. É realizado
____________ destes dois valores de modo a se obter a medida do risco, possibilitando que as ameaças
sejam ordenadas segundo o seu nível de risco.
 
Assinale a alternativa que completa, correta e respectivamente, as lacunas do texto acima.
a) a facilidade de exploração da ameaça – a probabilidade de cenário de incidente – o produto
b) o valor do ativo – o impacto ao negócio – o somatório
c) o impacto ao negócio – a facilidade de exploração da vulnerabilidade – o somatório
https://www.tecconcursos.com.br/questoes/690144
519) 
d) o nível da vulnerabilidade – a facilidade de exploraçãoda ameaça – o produto
e) o valor da consequência (do ativo) – a probabilidade de ocorrência da ameaça – o produto
www.tecconcursos.com.br/questoes/690146
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que:
a) o processo de identificação de ativos deve limitar-se ao escopo estabelecido para a gestão de
riscos.
b) considerando a natureza estática dos riscos, a revisão dos mesmos somente será necessária no
caso de inclusão de novos ativos no escopo da gestão de riscos.
c) a presença de vulnerabilidades, por si só, requer a previsão de controles para a mitigação dos
riscos.
d) as informações sobre riscos devem ser protegidas e restritas ao tomador de decisão e à equipe
técnica de análise de riscos.
e) a metodologia de análise de riscos deve ser quantitativa, de modo a serem utilizados valores
numéricos para os riscos.
www.tecconcursos.com.br/questoes/703253
https://www.tecconcursos.com.br/questoes/690146
https://www.tecconcursos.com.br/questoes/703253
520) 
FGV - Ana Leg (ALERO)/ALERO/Tecnologia da Informação/Análise e Desenvolvimento de
Sistemas/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando a norma ABNT NBR ISSO/IEC 27005:2011, relacione as quatro fases do Sistema de
Gestão da Segurança da Informação (SGSI) às atividades de Gestão de Riscos de Segurança da
Informação, relevantes para cada fase do SGSI.
 
1. Planejar
 
2. Executar
 
3. Verificar
 
4. Agir
 
( ) Processo de avaliação de riscos
 
( ) Monitoramento contínuo e análise crítica de riscos
 
( ) Implementação do plano de tratamento do risco
 
( ) Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação
 
Assinale a opção que apresenta a relação correta, segundo a ordem apresentada.
a) 1, 2, 3 e 4.
521) 
b) 1, 3, 2 e 4.
c) 2, 1, 4 e 3.
d) 2, 3, 1 e 4.
e) 4, 3, 1 e 2.
www.tecconcursos.com.br/questoes/703919
FGV - Ana Leg (ALERO)/ALERO/Tecnologia da Informação/Banco de Dados/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Estabelecida pela norma ABNT NBR ISO/IEC 27005:2011, a abordagem sistemática de gestão de
riscos considera como parte da fase "Planejar" do ciclo PDCA de um sistema de gestão de segurança da
informação, o processo denominado
a) implementação do plano de tratamento do risco.
b) aceitação do risco.
c) monitoramento contínuo e análise crítica de riscos.
d) melhoria do processo de gestão de riscos de segurança da informação.
e) reaplicação do processo de gestão de riscos de segurança da informação.
www.tecconcursos.com.br/questoes/704161
https://www.tecconcursos.com.br/questoes/703919
https://www.tecconcursos.com.br/questoes/704161
522) 
523) 
FGV - Ana Leg (ALERO)/ALERO/Tecnologia da Informação/Infraestrutura de Redes e
Comunicação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No contexto da gerência de riscos de segurança da informação e levando em conta os critérios
para a avaliação de riscos, deve-se
a) considerar os critérios do negócio.
b) considerar os fatores sociais.
c) definir o plano de tratamento do risco.
d) aceitar o risco.
e) considerar os requisitos legais, os regulatórios e as obrigações contratuais.
www.tecconcursos.com.br/questoes/704162
FGV - Ana Leg (ALERO)/ALERO/Tecnologia da Informação/Infraestrutura de Redes e
Comunicação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISSO/IEC 27005:2011, a opção de tratamento de um risco
identificado que gerencia seu nível através da inclusão, exclusão ou alteração de controles para uma
avaliação de seu resíduo e possível aceitação, é realizada na atividade de
https://www.tecconcursos.com.br/questoes/704162
524) 
a) retenção do risco.
b) análise de risco.
c) ação de evitar o risco.
d) compartilhamento do risco.
e) modificação do risco.
www.tecconcursos.com.br/questoes/726253
CEBRASPE (CESPE) - ACE (TCE-MG)/TCE MG/Ciência da Computação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência
de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise
e a avaliação de riscos capacitam os gestores a priorizar os riscos.
De acordo com essa norma, a atividade de análise de riscos inclui
a) a comunicação e a avaliação de riscos.
b) o tratamento e a aceitação de riscos.
c) a estimativa e o tratamento de riscos.
d) a avaliação e o tratamento de riscos.
e) a identificação e a estimativa de riscos.
https://www.tecconcursos.com.br/questoes/726253
525) 
www.tecconcursos.com.br/questoes/751667
FCC - Con Tec Leg (CL DF)/CL DF/Analista de Sistemas/Área 3/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em uma organização os critérios de aceitação do risco dependem frequentemente das políticas,
metas e objetivos, assim como dos interesses das partes interessadas. Segundo a norma ABNT NBR
ISO/IEC 27005:2011, cada organização pode definir sua própria escala de níveis de aceitação do risco,
considerando que critérios para a aceitação do risco
a) devem incluir apenas um limite, representando um nível desejável de risco, porém precauções
devem ser tomadas por gestores de TI para que não sejam aceitos riscos acima desse nível.
b) devem ser expressos como a razão entre o efeito estimado e a probabilidade da ocorrência do
risco.
c) diferentes podem ser aplicados a classes de risco diferentes, por exemplo, riscos que podem
resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos
de alto impacto podem ser aceitos se isto for especificado como um requisito contratual.
d) não podem incluir requisitos para um tratamento adicional futuro, já que tentativas de ações
futuras para reduzir o risco a um nível aceitável podem falhar.
e) não podem ser diferenciados de acordo com o tempo de existência previsto do risco, pois os riscos
não estão associados a atividades temporárias ou de curto prazo.
www.tecconcursos.com.br/questoes/469737
CONSULPLAN - AJ TRF2/TRF 2/Apoio Especializado/Informática - Desenvolvimento/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/751667
https://www.tecconcursos.com.br/questoes/469737
526) Uma boa política de segurança define controles lógicos e físicos assegurando um determinado nível
dedisponibilidade dos serviços, confiabilidade dos dados e serve de referência para as ações de
treinamento dos usuários e demais procedimentos de segurança. A ISO/IEC 27.000 apresenta uma
introdução geral de um sistema da segurança da informação e fornece um glossário, contendo definições
da maioria dos termos. Analise as afirmativas a respeito das Normas NBR ISO/IEC nº 27.001:2013, NBR
ISO/IEC nº 27002:2013 e NBR ISO/IEC nº27005:2011.
I. Na ótica da NBR ISO/IEC nº 27.001:2013 e NBR ISO/IEC nº 27.002:2013, a segurança que pode
ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e
gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer
planejamento e atenção cuidadosa em nível de detalhes, um sistema de gestão da segurança da
informação bem-sucedido requer apoio de todos os funcionários da organização.
II. A norma NBR ISO/IEC nº 27.005:2011 fornece diretrizes para o processo de gestão de riscos de
segurança da informação de uma organização, atendendo particularmente aos requisitos de um
Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a Norma NBR ISO/IEC nº
27.001, incluindo um método específico para agestão de riscos de segurança da informação.
Cabendo à organização a implementação e à adequação do modelo a estrutura do negócio.
III. A seleção de controles de segurança da informação depende das decisões da organização,
criando sua própria legislação e regulamentação baseadas nos critérios internos da organização para
aceitação de risco.
Está(ão) correta(s) apenas a(s) afirmativa(s)
a) I.
b) I e II.
527) 
c) I e III.
d) II e III.
www.tecconcursos.com.br/questoes/469851
CONSULPLAN - AJ TRF2/TRF 2/Apoio Especializado/Informática - Infraestrutura/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A Norma Brasileira ABNT NBR ISO/IEC 27005:2011 é responsável pela Tecnologia da Informação –
Técnicas de Segurança – Gestão de riscos de Segurança da Informação, fornecendo diretrizes para o
processo de gestão de riscos de segurança da informação, de acordo com os padrões do Sistema de
Gestão de Segurança da Informação (SGSI). Os gestores, além do pessoal envolvido com a gestão de
riscos de segurança da informação em uma organização, são as pessoas que têm maior interesse nesta
norma, ou também entidades externas que dão suporte a essas atividades. Esta norma apresenta
diversas atividades que possuem: Entrada; Ação; Diretrizes para implementação; e, Saída. “Trata-se da
comunicação que é uma atividade que objetiva alcançar um consenso sobre como os riscos devem ser
gerenciados, fazendo uso para tal da troca e/ou partilha das informações sobre o risco entre os
tomadores de decisão e as outras partes interessadas.” A afirmativa anterior trata-se de:
a) Avaliação do risco.
b) Percepção do risco.
c) Comunicação do risco.
d) Monitoramento do risco.
https://www.tecconcursos.com.br/questoes/469851
528) 
www.tecconcursos.com.br/questoes/477283
FCC - AJ TRT24/TRT 24/Apoio Especializado/Tecnologia da Informação/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considere os processos abaixo.
 
 
A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da
Segurança da Informação – SGSI e do processo de Gestão de Riscos de Segurança da Informação –
GRSI. Segundo a Norma, o processo de GRSI denominado
a) "Aceitação do risco" está alinhado com o processo do SGSI "Planejar".
b) "Avaliação de riscos" está alinhado com o processo do SGSI "Verificar".
c) "Manter e melhorar o processo de GRSI" está alinhado com o processo do SGSI "Verificar".
d) "Implementação do plano de tratamento do risco" está alinhado com o processo do SGSI "Agir".
e) "Aceitação do risco" está alinhado com o processo do SGSI "Verificar".
https://www.tecconcursos.com.br/questoes/477283
529) 
www.tecconcursos.com.br/questoes/490641
FCC - Esp RT (ARTESP)/ARTESP/Tecnologia da Informação/I/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a Norma ABNT NBR ISO/IEC 27005:2011, a análise de riscos pode ser empreendida com
diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das
vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Uma metodologia
para análise de riscos pode ser quantitativa, qualitativa ou uma combinação de ambas.
 
A análise quantitativa
a) é utilizada em primeiro lugar, na prática, para obter uma indicação geral do nível de risco e para
revelar os grandes riscos.
b) é normalmente menos complexa e menos onerosa que a análise qualitativa, já que a análise
qualitativa é focada somente nos grandes riscos.
c) de riscos utiliza uma escala com atributos quantificadores que descrevem a magnitude das
consequências potenciais (pequena, média ou grande) e a probabilidade dessas consequências
ocorrerem.
d) de riscos tem como vantagem a facilidade de compreensão por todas as pessoas envolvidas,
enquanto sua desvantagem é a dependência da escolha subjetiva da escala.
e) utiliza dados históricos dos incidentes, na maioria dos casos, proporcionando a vantagem de poder
ser relacionada diretamente aos objetivos da segurança da informação e interesses da organização.
https://www.tecconcursos.com.br/questoes/490641
530) 
531) 
www.tecconcursos.com.br/questoes/513326
CEBRASPE (CESPE) - TJ (TRE BA)/TRE BA/Apoio Especializado/Operação de
Computadores/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
O processo de gestão de risco, de acordo com a NBR ISO/IEC 27005, inicia-se com o(a)
a) identificação de riscos.
b) definição do contexto.
c) avaliação de riscos.
d) tratamento do risco.
e) monitoração dos riscos.
www.tecconcursos.com.br/questoes/513388
CEBRASPE (CESPE) - TJ (TRE BA)/TRE BA/Apoio Especializado/Programação de
Sistemas/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a Norma ABNT NBR ISO/IEC 27005, assinale a opção correta a respeito da gestão
de risco de TI.
https://www.tecconcursos.com.br/questoes/513326
https://www.tecconcursos.com.br/questoes/513388
532) 
a) Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são
determinados os valores dos ativos da organização, identificadas as ameaças e vulnerabilidades
existentes e determinadas as potenciais consequências dessas ameaças e vulnerabilidades.
b) A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A
identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos.
c) Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis, dentre os
quais a organização deve optar pelo mais adequado aos seus negócios.
d) Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos sejam
reavaliados periodicamente, entre um mês e um semestre.
e) A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si: redução,
retenção, evitação e transferência de risco.
www.tecconcursos.com.br/questoes/552508
CEBRASPE (CESPE) - AJ TRT7/TRT 7/Apoio Especializado/Tecnologia da Informação/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a ABNT NBR ISO/IEC 27005, o propósito da gestão de riscos de segurança da
informação pode ser
a) preparar um plano de resposta a incidentes.
b) monitorar controles de segurança da informação.
c) executar o processo de avaliação de riscos.
d) definir políticas.
https://www.tecconcursos.com.br/questoes/552508
533) 
534) 
www.tecconcursos.com.br/questoes/552511
CEBRASPE (CESPE) - AJ TRT7/TRT 7/Apoio Especializado/Tecnologia da Informação/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a ABNT NBR ISO/IEC 27005, a primeira etapa do processo de avaliação de riscos
consiste em
a) avaliar os riscos.
b) tratar os riscos.
c) monitorar os riscos.
d) identificar os riscos.
www.tecconcursos.com.br/questoes/562396
CEBRASPE (CESPE) - AJ TRF1/TRF 1/Apoio Especializado/Informática/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para
o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
As opções para tratamento do risco de segurança da informação — modificação do risco, retenção do
risco, ação de evitar o risco e compartilhamento do risco — não são mutuamente exclusivas.
Certo
Errado
https://www.tecconcursos.com.br/questoes/552511
https://www.tecconcursos.com.br/questoes/562396
535) 
536) 
www.tecconcursos.com.br/questoes/562397
CEBRASPE (CESPE) - AJ TRF1/TRF 1/Apoio Especializado/Informática/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para
o processode gestão de riscos de segurança da informação (GRSI) de uma organização.
 
Na fase executar são realizadas ações que incluem a reaplicação do processo de GRSI.
 
Certo
Errado
www.tecconcursos.com.br/questoes/562406
CEBRASPE (CESPE) - AJ TRF1/TRF 1/Apoio Especializado/Informática/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para
o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
 
Entre os ativos de suporte e infraestrutura incluem-se os recursos humanos, as instalações físicas e a
estrutura da organização.
 
 
Certo
Errado
https://www.tecconcursos.com.br/questoes/562397
https://www.tecconcursos.com.br/questoes/562406
537) 
538) 
www.tecconcursos.com.br/questoes/562407
CEBRASPE (CESPE) - AJ TRF1/TRF 1/Apoio Especializado/Informática/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para
o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
 
A qualidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas à
disponibilidade de dados históricos e auditáveis.
Certo
Errado
www.tecconcursos.com.br/questoes/584391
FCC - AJ TST/TST/Apoio Especializado/Tecnologia da Informação/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em um programa de Gestão de Riscos, o tratamento de riscos tem como objetivo determinar a
resposta mais adequada para modificar a probabilidade ou o impacto de um risco. A opção
a) mitigar objetiva descontinuar as atividades que geram o risco.
b) transferir objetiva compartilhar o risco com terceiros, como ocorre com os associados à reputação
de pessoa ou organização.
c) mitigar implica na redução da probabilidade e/ou do impacto de um evento de risco adverso para
dentro de limites aceitáveis.
https://www.tecconcursos.com.br/questoes/562407
https://www.tecconcursos.com.br/questoes/584391
539) 
d) transferir envolve avaliar se os demais tipos de respostas ao risco são viáveis. Em situações como
risco de baixo impacto ou custo desproporcional ao benefício do tratamento, a melhor opção é enviar
o risco para terceiros.
e) aceitar envolve isolar os objetivos do projeto do impacto do risco ou alterar o objetivo que está
em perigo, como estender o cronograma ou reduzir o escopo.
www.tecconcursos.com.br/questoes/762655
COVEST-COPSET - Tec (UFPE)/UFPE/Tecnologia da Informação/Segurança da
Informação/2017
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Sobre gestão de segurança da informação, de acordo com a NBR ISO/IEC 27005:2011, analise as
afirmações a seguir.
1) A ISO 27005 não inclui uma metodologia específica para a gestão de riscos de segurança da
informação.
2) A ISO 27005 fornece as diretrizes para o processo de Gestão de Riscos de Segurança da
Informação.
3) A Gestão de Riscos de Segurança da Informação tem início com as atividades de “identificação do
risco” e “comunicação do risco”, nesta ordem.
Está(ão) correta(s), apenas:
a) 1.
b) 2.
https://www.tecconcursos.com.br/questoes/762655
540) 
c) 3.
d) 1 e 2.
e) 2 e 3.
www.tecconcursos.com.br/questoes/328761
CEBRASPE (CESPE) - AJ (TRE PI)/TRE PI/Apoio Especializado/Análise de Sistemas/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário
federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da
informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os
conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC
27005, é correto afirmar que essa equipe
a) deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais
ativos de informação a serem identificados na atividade de identificação de riscos.
b) deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes
papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com
as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos,
estimativa de impactos e aceitação do risco para a organização.
c) deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma
metodologia qualitativa.
d) deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de
gestão de riscos.
e) deve particionar entre seus quatro membros a responsabilidade da execução simultânea das
seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e
comunicação do risco.
https://www.tecconcursos.com.br/questoes/328761
541) 
542) 
www.tecconcursos.com.br/questoes/337296
CEBRASPE (CESPE) - AJ TRT8/TRT 8/Apoio Especializado/Tecnologia da Informação/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma NBR ISO/IEC 27005, a etapa em que se identifica qualquer mecanismo
administrativo, físico ou operacional capaz de tratar os riscos da ocorrência de um incidente de
segurança é a identificação
a) das ameaças.
b) dos controles existentes.
c) das vulnerabilidades.
d) das consequências.
e) dos ativos.
www.tecconcursos.com.br/questoes/337299
CEBRASPE (CESPE) - AJ TRT8/TRT 8/Apoio Especializado/Tecnologia da Informação/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Quanto ao tratamento de riscos, conforme a norma NBR ISO/IEC 27005, assinale a opção correta.
a) A remoção da fonte do risco é forma de tratamento do risco conhecida como modificação do risco.
https://www.tecconcursos.com.br/questoes/337296
https://www.tecconcursos.com.br/questoes/337299
543) 
b) Os riscos residuais são aqueles classificados como impossíveis de ser tratados.
c) A retenção do risco consiste na ação de implementar controles que busquem reduzir os riscos a
um nível aceitável pela organização.
d) O compartilhamento do risco envolve transferência ou compartilhamento do risco com entidades
internas da organização com vistas a balancear os prejuízos entre as unidades na ocorrência de
perdas advindas de um incidente.
e) A escolha de controles para reduzir os riscos a um nível aceitável pela organização deve
considerar os seus critérios para a aceitação do risco, a exemplo dos requisitos legais, culturais e
ambientais.
www.tecconcursos.com.br/questoes/389713
CEBRASPE (CESPE) - Aud CE (TCE-PA)/TCE PA/Informática/Analista de Segurança/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de
segurança da informação (GRSI), julgue o item a seguir.
Durante o processo de GRSI, é importante que os riscos, bem como a forma com que se pretende tratá-
los, sejam comunicados ao pessoal das áreas operacionais e aos devidos gestores.
Certo
Errado
www.tecconcursos.com.br/questoes/389714
https://www.tecconcursos.com.br/questoes/389713
https://www.tecconcursos.com.br/questoes/389714
544) 
545) 
CEBRASPE (CESPE) - Aud CE (TCE-PA)/TCE PA/Informática/Analista de Segurança/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
À luz da NBR ISO/IEC 27005:2011, que dispõe diretrizes para o processo de gestão de riscos de
segurança da informação (GRSI), julgue o item a seguir.
 
O processo de GRSI é iterativo tanto para o processo de avaliação de riscos quanto para as atividades de
tratamento de risco.
Certo
Errado
www.tecconcursos.com.br/questoes/411709FCC - Ana Tec (PRODATER)/Pref Teresina/Analista de Negócios/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Deseja-se formalizar o processo de gestão de risco de segurança da informação na Prefeitura
Municipal de Teresina. Para isso, a correta ordem das etapas desse processo de gestão é:
a) Definição do Contexto, Avaliação de Riscos, Tratamento de Risco, Aceitação do Risco,
Comunicação e Consulta do Risco e Monitoração e Análise Crítica de Riscos.
b) Avaliação de Riscos, Tratamento de Risco, Comunicação e Consulta do Risco, Definição do
Contexto, Aceitação do Risco e Monitoração e Análise Crítica de Riscos.
c) Monitoração e Análise Crítica de Riscos, Avaliação de Riscos, Tratamento de Risco, Aceitação do
Risco, Definição do Contexto e Comunicação e Consulta do Risco.
https://www.tecconcursos.com.br/questoes/411709
546) 
d) Definição do Contexto, Monitoração e Análise Crítica de Riscos, Avaliação de Riscos, Tratamento
de Risco, Aceitação do Risco e Comunicação e Consulta do Risco.
e) Monitoração e Análise Crítica de Riscos, Avaliação de Riscos, Aceitação do Risco, Tratamento de
Risco, Definição do Contexto e Comunicação e Consulta do Risco.
www.tecconcursos.com.br/questoes/411710
FCC - Ana Tec (PRODATER)/Pref Teresina/Analista de Negócios/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Para desenvolver o método de gestão de riscos da Prefeitura Municipal de Teresina, deve-se
considerar os critérios básicos de
a) negócio, de impacto e de tratamento do risco.
b) avaliação de riscos, de negócio e de tratamento do risco.
c) avaliação de riscos, de impacto e de aceitação do risco.
d) impacto, de desempenho e de tratamento do risco.
e) negócio, de desempenho e de aceitação do risco.
www.tecconcursos.com.br/questoes/411711
FCC - Ana Tec (PRODATER)/Pref Teresina/Analista de Negócios/2016
https://www.tecconcursos.com.br/questoes/411710
https://www.tecconcursos.com.br/questoes/411711
547) 
548) 
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a Norma NBR ISO/IEC 27005:2011, dentre as classes de ameaças conhecidas como
ações não autorizadas, o único tipo de ameaça que é considerado acidental é
a) o uso não autorizado de equipamento.
b) a cópia ilegal de software.
c) o comprometimento dos dados.
d) o processamento ilegal de dados.
e) o uso de cópias de software falsificadas ou ilegais.
www.tecconcursos.com.br/questoes/411712
FCC - Ana Tec (PRODATER)/Pref Teresina/Analista de Negócios/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a Norma NBR ISO/IEC 27005:2011, no processo de identificação de ativos da
organização, um dos ativos do tipo primário é
a) a instalação física.
b) o recurso humano.
c) a informação.
https://www.tecconcursos.com.br/questoes/411712
549) 
d) a estrutura da organização.
e) a rede de comunicação.
www.tecconcursos.com.br/questoes/411713
FCC - Ana Tec (PRODATER)/Pref Teresina/Analista de Negócios/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A NBR ISO/IEC 27005:2011 NÃO considera como opção para o tratamento do risco de segurança
da informação:
a) a retenção do risco.
b) a modificação do risco.
c) o compartilhamento do risco.
d) a eliminação do risco.
e) a ação de evitar o risco.
www.tecconcursos.com.br/questoes/435683
FCC - Ana (PGE MT)/PGE MT/Analista de Sistemas/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/411713
https://www.tecconcursos.com.br/questoes/435683
550) 
551) 
Considere, hipoteticamente, que a PGE-MT está diante de um risco de segurança da informação e
o Analista de Sistemas terá que decidir que ação tomar. Resolve se guiar pela seção da norma ABNT NBR
ISO/IEC 27005:2011 que discorre sobre o tratamento do risco de segurança da informação. Esta seção
indica como ações para o tratamento do risco:
a) modificar, reter, evitar e compartilhar.
b) evitar, monitorar, conter e terceirizar.
c) eliminar, aceitar, evitar e mitigar.
d) modificar, aceitar, ignorar, terceirizar.
e) identificar, monitorar, eliminar, divulgar.
www.tecconcursos.com.br/questoes/439768
FCC - TJ TRT20/TRT 20/Apoio Especializado/Tecnologia da Informação/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR
ISO/IEC 27005:2011, que fornece diretrizes para o processo de gestão de riscos de segurança da
informação. Seguindo esta norma, a implantação do processo de gestão de riscos deve passar pelas
etapas: definição do contexto, processo de avaliação de riscos, tratamento do risco,
a) análise de impacto do risco, monitoramento do risco e comunicação do risco.
b) aceitação do risco, comunicação e consulta do risco e monitoramento e análise crítica de riscos.
c) mitigação do impacto do risco e análise crítica sobre o risco.
d) análise de impacto do risco, comunicação do risco e definição de ações de contenção do risco.
https://www.tecconcursos.com.br/questoes/439768
552) 
e) tomada de decisão sobre o risco, divulgação do risco na organização e monitoramento e controle
de riscos.
www.tecconcursos.com.br/questoes/439769
FCC - TJ TRT20/TRT 20/Apoio Especializado/Tecnologia da Informação/2016
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No processo de tratamento do risco de segurança da informação, segundo a norma ABNT NBR
ISO/IEC 27005:2011,
a) compartilha-se a responsabilidade de gerenciar riscos e também a responsabilidade legal por um
impacto.
b) se o risco atender aos critérios legais para a aceitação do risco, devem ser implementados
controles adicionais para que o risco possa ser aceito.
c) riscos considerados de impacto mediano ou alto, mesmo que os custos do tratamento não
excedam os benefícios, devem ser evitados completamente.
d) o nível de risco pode ser gerenciado através da inclusão, exclusão ou alteração de controles, para
que o risco residual possa ser reavaliado e então considerado aceitável.
e) determinar se o risco residual está ou não abaixo ou acima de um limite bem definido deve ser o
único critério para aceitar ou não o risco.
www.tecconcursos.com.br/questoes/267284
https://www.tecconcursos.com.br/questoes/439769
https://www.tecconcursos.com.br/questoes/267284
553) 
554) 
VUNESP - Ag Fisc (TCE-SP)/TCE SP/Tecnologia da Informação (TI)/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma NBR ISO/IEC 27005:2011 estabelece a correspondência entre processos de um Sistema
de Gestão de Segurança da Informação (SGSI) e processos de gestão de riscos da segurança da
informação. Assinale a alternativa que contém uma correspondência correta entre os dois tipos de
processos.
a) Agir – implementação do plano de tratamento de risco.
b) Executar – aceitação do risco.
c) Executar – análise/avaliação de riscos.
d) Planejar – plano de tratamento de risco.
e) Verificar – definição do contexto.
www.tecconcursos.com.br/questoes/267288
VUNESP - Ag Fisc (TCE-SP)/TCE SP/Tecnologia da Informação (TI)/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a norma NBR ISO/IEC 27005:2011, considerando uma iteração completa do processo de
gestão de riscos, são previstas as seguintes atividades (não necessariamente na ordem correta de
execução):
I. Tratamento de riscos
II. Análise de riscos
https://www.tecconcursos.com.br/questoes/267288
555) 
III. Identificação de riscos
IV. Aceitação de riscos
V. Avaliação de riscos
Considerando uma sequência direta na execução dessas atividades, sem pontos de retorno
intermediários, a ordemcorreta de execução dessas 5 atividades é:
a) I, IV, V, III e II.
b) II, III, IV, V e I.
c) III, II, V, I e IV.
d) IV, III, V, II e I.
e) V, I, II, IV e III.
www.tecconcursos.com.br/questoes/278308
FGV - Ana (TJ SC)/TJ SC/Sistemas/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ISO 27005:2013, analise as afirmativas a seguir:
I. A identificação de ativos deve ser realizada durante a fase de análise de riscos.
II. Para realizar o tratamento de um dado risco, a norma especifica quatro ações possíveis e
mutuamente exclusivas entre si.
https://www.tecconcursos.com.br/questoes/278308
556) 
III. Na etapa de comunicação de riscos, os controles não utilizados para mitigar um dado risco
devem ser listados e justificados em uma declaração de aplicabilidade.
As afirmativas corretas são somente:
a) I;
b) II;
c) III;
d) I e II;
e) II e III.
www.tecconcursos.com.br/questoes/282682
FCC - ACE (TCE-CE)/TCE CE/Controle Externo/Auditoria de Tecnologia da Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Segundo a norma NBR ISO/IEC 27005:2011, que trata da Gestão de Riscos de Segurança da
Informação,
a) atividades de análise/avaliação de riscos só podem ser realizadas uma vez no processo de Gestão
de Riscos.
b) as opções de tratamento do risco são: reduzir o risco, reter o risco, evitar o risco e ignorar o risco.
c) a atividade de tratamento do risco será iniciada somente se a avaliação do risco for satisfatória.
https://www.tecconcursos.com.br/questoes/282682
557) 
d) atividades de tratamento de riscos só podem ser realizadas uma vez no processo de Gestão de
Riscos.
e) a atividade de análise/avaliação de riscos é composta pelas sub-atividades: identificar os riscos,
estimar os riscos, classificar os riscos e responder aos riscos.
www.tecconcursos.com.br/questoes/284069
FGV - Ana TI (TCE SE)/TCE SE/Segurança da Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em uma dada situação de risco para um incidente de segurança, determinada organização decidiu
não adotar controles, preferindo fazer um seguro para cobrir eventuais prejuízos no caso de ocorrência
do incidente.
Nesse exemplo foi adotado o tratamento de:
a) mitigar o risco;
b) transferir o risco;
c) evitar o risco;
d) aceitar o risco;
e) ocultar o risco.
www.tecconcursos.com.br/questoes/285005
https://www.tecconcursos.com.br/questoes/284069
https://www.tecconcursos.com.br/questoes/285005
558) 
559) 
CEBRASPE (CESPE) - AUFC (TCU)/TCU/Controle Externo/Auditoria de Tecnologia da
Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à gestão de riscos, julgue o item.
Conforme a NBR ISO/IEC 27005:2011, para a avaliação dos riscos de segurança da informação na
organização, convém que os critérios de avaliação sejam desenvolvidos considerando-se a criticidade dos
ativos de informação envolvidos.
Certo
Errado
www.tecconcursos.com.br/questoes/295447
FCC - AJ TRT3/TRT 3/Apoio Especializado/Tecnologia da Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Um analista de TI está utilizando as recomendações da norma ABNT NBR ISO/IEC 27005:2011
para realizar o tratamento de riscos dentro do processo de gestão de riscos de segurança da informação.
Nesse contexto, a norma recomenda que
a) as opções de tratamento do risco sejam selecionadas apenas com base no resultado do processo
de avaliação de riscos e no custo esperado para implementações dessas opções.
b) as quatro opções para tratamento do risco sejam aplicadas de forma mutuamente exclusiva, ou
seja, não combinadas.
c) as opções de tratamento do risco sejam consideradas levando-se em conta como o risco é
percebido pelas partes afetadas e as formas mais apropriadas de comunicação com estas partes.
https://www.tecconcursos.com.br/questoes/295447
560) 
d) as consequências adversas do risco sejam reduzidas ao mínimo possível de acordo com critérios
absolutos, como a probabilidade do risco, pois riscos mais prováveis devem ser os primeiros a serem
considerados.
e) um plano de tratamento de riscos seja definido identificando os riscos mais prováveis, as formas
de tratar estes riscos, independente das prioridades, e os prazos de execução das ações de
tratamento de risco indicadas.
www.tecconcursos.com.br/questoes/308516
CEBRASPE (CESPE) - AJ STJ/STJ/Apoio Especializado/Suporte em Tecnologia da
Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com base nas normas ISO 27001, ISO 27002, ISO 27003, ISO 27004 e ISO 27005, relativas à
segurança de ativos de informação das organizações, julgue o item a seguir.
 
De acordo com a norma ISO 27005, na estimativa de riscos, podem ser aplicadas metodologias
qualitativas para a identificação de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/316509
CEBRASPE (CESPE) - Ass Tec (TCE-RN)/TCE RN/Informática/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/308516
https://www.tecconcursos.com.br/questoes/316509
561) 
562) 
563) 
Com relação à gestão de risco e de plano de continuidade de negócio, julgue o item seguinte.
 
A implementação de gestão de risco deverá resultar na identificação, no tratamento, no
acompanhamento e na extinção total do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/316521
CEBRASPE (CESPE) - Ass Tec (TCE-RN)/TCE RN/Informática/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca de gestão de riscos, julgue o próximo item.
O processo de gestão de riscos de segurança da informação pode ser aplicado em todos os segmentos
da organização: departamento, serviço, sistema de informações e até controles já existentes.
Certo
Errado
www.tecconcursos.com.br/questoes/317351
CEBRASPE (CESPE) - Insp CEx (TCE-RN)/TCE RN/Tecnologia da Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com base nas normas NBR ISO/IEC 15999 e NBR ISO/IEC 27005, julgue o item subsequente.
 
https://www.tecconcursos.com.br/questoes/316521
https://www.tecconcursos.com.br/questoes/317351
564) 
565) 
A norma 27005 contém a descrição do processo de gestão de riscos de segurança da informação e de
suas atividades, mas a parte de comunicação e consulta do risco foi subdividida na norma 27005:CCR,
que determina como deve ser o sistema de informação de gerenciamento do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/317975
CEBRASPE (CESPE) - AJ (TJDFT)/TJDFT/Apoio Especializado/Análise de Sistemas/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à gestão de segurança da informação, julgue o item a seguir.
A norma ISO/IEC 27005 determina que, se uma ameaça tem valor constante, o impacto resultante será o
mesmo para todos os ativos, independentemente de qual deles seja afetado.
Certo
Errado
www.tecconcursos.com.br/questoes/318226
CEBRASPE (CESPE) - AJ (TJDFT)/TJDFT/Apoio Especializado/Suporte em Tecnologia da
Informação/2015
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item a seguir com relação à norma ISO 27005.
https://www.tecconcursos.com.br/questoes/317975
https://www.tecconcursos.com.br/questoes/318226
566) 
567) 
A ISO 27005, que estabelece guias de referência para gerenciamento de risco em segurança da
informação, é aplicável na maior parte das organizações, com exceção das agências de governo.
Certo
Errado
www.tecconcursos.com.br/questoes/165151
CEBRASPE (CESPE) - Ana Sist (SUFRAMA)/SUFRAMA/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Noque se refere à segurança da informação, julgue o item a seguir.
 
Considere que uma vulnerabilidade conhecida de determinado software represente risco de incidente de
segurança da informação. Nessa situação, identificado o risco, o impacto é considerado como a
possibilidade desse risco efetivamente ocorrer.
Certo
Errado
www.tecconcursos.com.br/questoes/165383
CEBRASPE (CESPE) - AnaTA SUFRAMA/SUFRAMA/Tecnologia da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No que se refere à segurança da informação, julgue o item subsequente.
https://www.tecconcursos.com.br/questoes/165151
https://www.tecconcursos.com.br/questoes/165383
568) 
A avaliação de riscos e de ameaças de uma empresa resulta na seleção e na adoção de mecanismos de
prevenção, detecção e resposta para redução de riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/172224
FCC - AJ TRF3/TRF 3/Apoio Especializado/Informática (Infraestrutura)/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A partir da avaliação de impacto sobre os pilares confidencialidade, integridade e disponibilidade de
informações, aconselha-se que sejam estabelecidos os níveis de segurança requeridos para as aplicações
na forma de objetivos de segurança. Estes objetivos podem ser classificados em Gerenciais,
Operacionais, Técnicos e Ambientais. Considere os objetivos apresentados a seguir:
I. Criar, proteger e reter os registros dos eventos de segurança ou de uso indevido. Garantir que
indivíduos sejam responsabilizados por suas ações.
II. Proteger mídias (em papel ou digitais) referentes aos sistemas da informação ou dados sensíveis,
fornecendo o apropriado controle de acesso, além de garantir o descarte apropriado destas mídias.
III. Identificar usuários, processos ou dispositivos e verificar (autenticar) suas identidades como
pré-requisito para permitir seus acessos nos sistemas.
IV. Estabelecer, manter e implementar controles para assegurar a perenidade dos serviços, ou
atender a critérios mínimos de disponibilidade.
https://www.tecconcursos.com.br/questoes/172224
569) 
V. Desenvolver, documentar, atualizar e implantar políticas de segurança, para evitar o vazamento de
informações, paradas não programadas ou alterações indevidas em dados e processos.
São objetivos Gerenciais o que consta APENAS em
a) IV e V.
b) II e III.
c) I, IV e V.
d) I e II.
e) I e V.
www.tecconcursos.com.br/questoes/203002
FEPESE - Ana (MPE SC)/MPE SC/Tecnologia da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Assinale a alternativa que apresenta corretamente as etapas do processo de Gestão de Riscos de
acordo com a NBR ISO/IEC 27005.
a) Identificação de Risco; Análise/avaliação de riscos; Tratamento do risco; Aceitação do risco;
Comunicação do risco; e Monitoramento e análise crítica de riscos.
b) Identificação de Risco; Análise/avaliação de riscos; Tratamento do risco; Aceitação do risco e
Comunicação do risco.
c) Identificação de Risco; Análise/avaliação de riscos; Tratamento do risco; Contenção do risco;
Aceitação do risco; Comunicação do risco
d) Definição de contexo; Análise/avaliação de riscos; Tratamento do risco; Aceitação do risco;
Comunicação do risco; e Monitoramento e análise crítica de riscos.
https://www.tecconcursos.com.br/questoes/203002
570) 
571) 
e) Definição de contexto; Análise de riscos; Eliminação/Aceitação do risco; Monitoramento de riscos.
www.tecconcursos.com.br/questoes/211846
CEBRASPE (CESPE) - AJ (TJ CE)/TJ CE/Técnico-Administrativa/Ciências da
Computação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Assinale a opção em que é apresentada metodologia utilizada para a estimativa de riscos.
a) paramétrica
b) delphi
c) qualitativa
d) caminho crítico
e) PERT
www.tecconcursos.com.br/questoes/215564
FGV - TSE (DPE RJ)/DPE RJ/Gestão em Tecnologia da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considere que você está alocado à função de gestão de riscos de segurança de informação da sua
organização. Ao identificar um risco considerado demasiadamente elevado e com custos de
implementação de outras opções de tratamento que excedem os benefícios, o tratamento de eliminar
uma atividade existente ou mudar as condições em que a operação da atividade ocorre é um tratamento
referente a
https://www.tecconcursos.com.br/questoes/211846
https://www.tecconcursos.com.br/questoes/215564
572) 
a) evitar o risco.
b) compartilhar (transferir) o risco.
c) reter (aceitar) o risco.
d) modificar o risco.
e) ignorar o risco.
www.tecconcursos.com.br/questoes/221523
FGV - ACI (Pref Recife)/Pref Recife/Tecnologia da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ISO/IEC 27.005 tem por objetivo
a) definir métricas para melhorar o sistema de gestão da segurança da informação.
b) ser um guia de ação para a gestão de riscos da segurança da informação.
c) buscar a implantação de um sistema de gestão da segurança da informação.
d) ser um guia para a acreditação de organizações que oferecem certificação em segurança da
informação.
e) melhorar a efetividade de um sistema de gestão da segurança da informação.
www.tecconcursos.com.br/questoes/231132
CEBRASPE (CESPE) - AA (ANATEL)/ANATEL/Desenvolvimento de Sistemas de
Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/221523
https://www.tecconcursos.com.br/questoes/231132
573) 
574) 
Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão
de riscos de segurança da informação nas organizações, julgue o item subsecutivo.
Processos disciplinares não fazem parte da gestão de segurança da informação e devem ser tratados
apenas no âmbito administrativo.
Certo
Errado
www.tecconcursos.com.br/questoes/231133
CEBRASPE (CESPE) - AA (ANATEL)/ANATEL/Desenvolvimento de Sistemas de
Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão
de riscos de segurança da informação nas organizações, julgue o item subsecutivo.
 
A referida norma prevê quatro opções para o tratamento de um risco identificado: redução do risco por
meio de controles, para que o risco residual seja considerado aceitável; retenção do risco: que considera
o risco como aceitável; transferência do risco: em que se transfere o risco para outra entidade que possa
gerenciá-lo de forma eficaz; e reversão do risco, em que o risco é transformado em oportunidade de
negócio.
Certo
Errado
www.tecconcursos.com.br/questoes/231134
https://www.tecconcursos.com.br/questoes/231133
https://www.tecconcursos.com.br/questoes/231134
575) 
576) 
CEBRASPE (CESPE) - AA (ANATEL)/ANATEL/Desenvolvimento de Sistemas de
Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão
de riscos de segurança da informação nas organizações, julgue o item subsecutivo.
 
Como o processo de gestão de riscos de segurança da informação contribui para a identificação de
riscos, para a análise de riscos e para o estabelecimento da ordem prioritária para tratamento de riscos,
ele deve ser aplicado à organização como um todo, e não apenas a uma área específica.
Certo
Errado
www.tecconcursos.com.br/questoes/231135
CEBRASPE (CESPE) - AA (ANATEL)/ANATEL/Desenvolvimento de Sistemas de
Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à norma NBR ISO/IEC 27005:2008, que fornece diretrizes para o processo de gestão
de riscosde segurança da informação nas organizações, julgue o item subsecutivo.
 
Ativos de informação, ativos de software, ativos físicos, serviços, pessoas e intangíveis são exemplos de
ativos de uma organização.
Certo
https://www.tecconcursos.com.br/questoes/231135
577) 
Errado
www.tecconcursos.com.br/questoes/270018
FCC - Tec Gest (SABESP)/SABESP/Informática/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a Norma NBR ISO/IEC 27005, o processo de Gestão de Riscos da Segurança da
Informação é composto pelas atividades mostradas na figura abaixo:
 
https://www.tecconcursos.com.br/questoes/270018
 
As atividades I, II e III da figura acima correspondem, respectivamente, a:
a) Definição das ameaças; Categorização do risco; Tratamento do risco.
b) Avaliação das ameaças; Tratamento das ameaças; Aceitação dos riscos e ameaças.
c) Avaliação do contexto; Categorização das ameaças; Tratamento das ameaças.
d) Contextualização dos riscos; Tratamento dos riscos e das ameaças; Aceitação dos riscos e das
ameaças.
e) Definição do contexto; Tratamento do risco; Aceitação do risco.
578) 
579) 
www.tecconcursos.com.br/questoes/317582
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/"Sem Especialidade"/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue o próximo item, no que se refere à
gestão de riscos da segurança da informação.
Para a fase de tratamento do risco da segurança da informação, essa norma estabelece quatro possíveis
ações não mutuamente exclusivas: redução, retenção, prevenção e eliminação do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/317583
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/"Sem Especialidade"/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue o próximo item, no que se refere à
gestão de riscos da segurança da informação.
 
Na identificação dos ativos de uma organização, que ocorre durante a atividade de análise de riscos, é
exigida a identificação de um responsável para cada ativo de forma a garantir as responsabilidades na
prestação de contas.
Certo
https://www.tecconcursos.com.br/questoes/317582
https://www.tecconcursos.com.br/questoes/317583
580) 
581) 
Errado
www.tecconcursos.com.br/questoes/317584
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/"Sem Especialidade"/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue o próximo item, no que se refere à
gestão de riscos da segurança da informação.
 
A comunicação de riscos visa assegurar que as informações sobre os riscos sejam compartilhadas entre
os responsáveis pelas decisões e as outras partes envolvidas.
Certo
Errado
www.tecconcursos.com.br/questoes/317585
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/"Sem Especialidade"/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue o próximo item, no que se refere à
gestão de riscos da segurança da informação.
 
A referida norma fornece as diretrizes para o processo de gestão de riscos da segurança da informação
bem como uma metodologia específica para todos os tipos de organização que pretendam gerir os riscos
passíveis de comprometer a segurança da informação da organização.
 
https://www.tecconcursos.com.br/questoes/317584
https://www.tecconcursos.com.br/questoes/317585
582) 
583) 
Certo
Errado
www.tecconcursos.com.br/questoes/318295
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/Segurança da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando o que dispõe a NBR ISO/IEC 27005, julgue o item subsecutivo.
 
Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte
do escopo da gestão de riscos de segurança da informação.
Certo
Errado
www.tecconcursos.com.br/questoes/318296
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/Segurança da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando o que dispõe a NBR ISO/IEC 27005, julgue o item subsecutivo.
 
Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes
identificados como relevantes, com as respectivas consequências para os processos de negócio.
Certo
Errado
https://www.tecconcursos.com.br/questoes/318295
https://www.tecconcursos.com.br/questoes/318296
584) 
585) 
www.tecconcursos.com.br/questoes/318297
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/Segurança da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando o que dispõe a NBR ISO/IEC 27005, julgue o item subsecutivo.
 
A perda de uma oportunidade de negócio devido a um evento de segurança da informação é considerada
um critério de impacto.
Certo
Errado
www.tecconcursos.com.br/questoes/318298
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/Segurança da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando o que dispõe a NBR ISO/IEC 27005, julgue o item subsecutivo.
 
Na definição da metodologia de avaliação dos riscos, devem ser identificadas as ameaças que podem
afetar os ativos de informação que serão avaliados.
Certo
Errado
www.tecconcursos.com.br/questoes/318299
https://www.tecconcursos.com.br/questoes/318297
https://www.tecconcursos.com.br/questoes/318298
https://www.tecconcursos.com.br/questoes/318299
586) 
587) 
CEBRASPE (CESPE) - AJ (TJ SE)/TJ SE/Análise de Sistemas/Segurança da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Considerando o que dispõe a NBR ISO/IEC 27005, julgue o item subsecutivo.
 
Para o tratamento dos riscos, a referida norma estabelece as seguintes opções: reter, reduzir, evitar ou
transferir o risco.
Certo
Errado
www.tecconcursos.com.br/questoes/370393
CEBRASPE (CESPE) - ACE (TC DF)/TC DF/Especializada/Sistemas de TI/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o item referente à gestão de segurança da informação e à gestão de riscos e continuidade
de negócio.
 
Conforme a norma ISO/IEC 27005, é recomendável que o nível de risco seja estimado em todos os
cenários de incidentes relevantes. Essa estimativa serve para designar valores qualitativos ou
quantitativos para a probabilidade e para as consequências do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/594354
https://www.tecconcursos.com.br/questoes/370393
https://www.tecconcursos.com.br/questoes/594354
588) 
589) 
PR4 (UFRJ) - ATI (UFRJ)/UFRJ/Segurança da Informação/2014
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Dentre as etapas previstas na norma da ABNT NBR 27005:2011 em relação ao processo de
gerenciamento de riscos de segurança da informação, podemos citar:
a) definição do contexto, avaliação do custo do risco, tratamento do risco, comunicação do risco.
b) identificação do risco, alocação de recursos, tratamento do risco, monitoramento e análise crítica
de risco.
c) definição do contexto, tratamento do risco, aceitação do risco, monitoramento e análise crítica de
risco.
d) identificação do risco, alocação de recursos, comunicação do risco, monitoramento e análise crítica
de risco.
e) identificação do risco, alocação de recursos, tratamento do risco, comunicação do risco. 
www.tecconcursos.com.br/questoes/859626
QUADRIX - Ana TI (DATAPREV)/DATAPREV/Infraestrutura e Aplicações/2014
TI - Segurança da Informação- NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Quando se trata de segurança da informação, devemos sempre nos preocupar com normas e
procedimentos que a empresa vai seguir para suas atividades, a fim de proteger sua informação e a de
seu cliente, haja que a informação é o bem mais precioso que se tem atualmente. Devemos levar em
https://www.tecconcursos.com.br/questoes/859626
590) 
conta que muitas vezes lidamos com informações do cliente ou mesmo informações críticas da nossa
empresa, que devem ter sua confidencialidade e integridade mantidas, e as normas agregam
procedimentos que visam a essa segurança (embora seguir as normas não seja garantia total de
segurança).
Considerando essa preocupação, a ISO criou a série 27000, com normas específicas de segurança, que
são as mais usadas pelo mercado. A série ISO 27000 é composta por 6 normas, uma das quais trata da
gestão de riscos, fornecendo diretrizes para o gerenciamento de informações de risco. Identifique, a
seguir, qual alternativa contém essa norma.
a) ISO 27004.
b) ISO 27006.
c) ISO 27005.
d) ISO 27003.
e) ISO 27002.
www.tecconcursos.com.br/questoes/95925
CEBRASPE (CESPE) - AJ TRE MS/TRE MS/Apoio Especializado/Análise de Sistemas/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC 27.005, os processos da análise de riscos incluem
a) a identificação de consequências.
b) a definição e mensuração da efetividade de controles.
c) a detecção de erros no resultado de processamento de informações.
d) o contato com autoridades.
e) os acordos de confidencialidade.
https://www.tecconcursos.com.br/questoes/95925
591) 
www.tecconcursos.com.br/questoes/97422
FCC - AFR SP/SEFAZ SP/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Diante de um risco, pode-se tomar 4 tipos de ação:
 
Evitar: Tomar uma ação para evitar totalmente um risco. Exemplo I.
Transferir: Pode-se transferir o risco para um terceiro. Exemplo II.
Mitigar: Tomar ações para minimizar riscos. Exemplo III.
Aceitar: Existem alguns riscos que são tão caros de serem combatidos que vale mais a pena aceitar
o risco e ter um plano B caso o mesmo ocorra. Exemplo IV.
O tipo de ação e o exemplo estão INCORRETAMENTE associados em:
a) III − limitar o uso da internet para alguns sites confiáveis somente.
b) II − fazer o outsourcing da administração de um servidor e colocar em contrato penalidades, caso
o acordo estabelecido não seja cumprido.
c) IV − guardar um backup dentro da empresa no local onde os dados são processados para que se
possa restaurar o ambiente com rapidez caso o sinistro ocorra.
d) I − proibir o acesso à internet dentro da organização, de forma a evitar que vírus sejam copiados
da internet para os computadores da empresa.
e) IV − armazenar um backup fora da empresa para restaurar o ambiente caso o sinistro ocorra.
https://www.tecconcursos.com.br/questoes/97422
592) 
593) 
www.tecconcursos.com.br/questoes/103030
CEBRASPE (CESPE) - AJ CNJ/CNJ/Apoio Especializado/Análise de Sistemas/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Acerca da gestão de segurança da informação, conforme as normas da ABNT, julgue o item a
seguir.
De acordo com a ABNT NBR ISO/IEC 27005, é preciso identificar controles existentes e planejados em
uma organização. Além disso, é necessário manter uma lista que descreva sua implantação e seu status
de utilização.
Certo
Errado
www.tecconcursos.com.br/questoes/110114
CEBRASPE (CESPE) - AJ TRT10/TRT 10/Apoio Especializado/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No que se refere a políticas organizacionais e gestão e análise de riscos, julgue o item seguinte.
Em virtude de o risco estar sempre presente, evitar sua ocorrência é uma atividade não compreendida na
gestão de riscos, que abrange exclusivamente a busca de soluções para minimizar o impacto do risco.
Certo
Errado
https://www.tecconcursos.com.br/questoes/103030
https://www.tecconcursos.com.br/questoes/110114
594) 
595) 
www.tecconcursos.com.br/questoes/110115
CEBRASPE (CESPE) - AJ TRT10/TRT 10/Apoio Especializado/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
No que se refere a políticas organizacionais e gestão e análise de riscos, julgue o item seguinte.
A avaliação de riscos, uma atividade do processo de gestão de riscos, inclui a identificação e a análise
dos riscos, as quais geram saídas para o tratamento desses riscos.
Certo
Errado
www.tecconcursos.com.br/questoes/143693
CEBRASPE (CESPE) - AA (TCE ES)/TCE ES/Informática/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Com relação à gestão de riscos, assinale a opção correta.
a) O escopo da análise dos riscos deve sempre atuar sobre toda a organização.
b) A NBR ISO/IEC 15999 estabelece as bases para a gestão de riscos em segurança da informação e
a NBR ISO/IEC 27005 trata da gestão de continuidade de negócios.
c) Gerenciar os riscos é um dos principais processos da gestão de segurança da informação, pois visa
identificar, avaliar e priorizar riscos para, em seguida, se poder aplicar, de forma coordenada e
econômica, os recursos para minimizar, monitorar e controlar a probabilidade e o impacto de eventos
negativos, de modo a se reduzir o risco a um nível aceitável.
d) No sentido de ganhar agilidade na identificação, avaliação e priorização dos riscos, o gestor de
segurança da informação pode deixar de consultar a alta direção, sem que isso acarrete prejuízo à
https://www.tecconcursos.com.br/questoes/110115
https://www.tecconcursos.com.br/questoes/143693
596) 
597) 
gestão de riscos.
e) A gestão de segurança da informação pode arbitrar alguns riscos a priori e realizar o tratamento do
risco sem prejuízo dos resultados.
www.tecconcursos.com.br/questoes/152567
FUNRIO - Ana (INSS)/INSS/Tecnologia da Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Assinale a alternativa que não corresponde, segundo a Norma ISO 27005, a uma opção de
tratamento de risco.
a) Redução do risco.
b) Retenção do risco.
c) Ação de evitar o risco.
d) Expurgo do risco.
e) Transferência do risco.
www.tecconcursos.com.br/questoes/163172
CEBRASPE (CESPE) - AJ (STF)/STF/Apoio Especializado/Suporte em Tecnologia da
Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o próximo item, a respeito da gestão de riscos.
A aplicação de controles apropriados é suficiente para se diminuir o risco identificado.
https://www.tecconcursos.com.br/questoes/152567
https://www.tecconcursos.com.br/questoes/163172
598) 
599) 
Certo
Errado
www.tecconcursos.com.br/questoes/163174
CEBRASPE (CESPE) - AJ (STF)/STF/Apoio Especializado/Suporte em Tecnologia da
Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o próximo item, a respeito da gestão de riscos.
 
De acordo com critérios predefinidos, a importância do risco é determinada na fase de análise do risco.
Certo
Errado
www.tecconcursos.com.br/questoes/163175
CEBRASPE (CESPE) - AJ (STF)/STF/Apoio Especializado/Suporte em Tecnologia da
Informação/2013
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Julgue o próximo item, a respeito da gestão de riscos.
 
Todos os riscos de segurança da informação identificados deverão ser tratados, visto que qualquer risco
não tratado constitui uma falha de segurança.
Certo
https://www.tecconcursos.com.br/questoes/163174
https://www.tecconcursos.com.br/questoes/163175
600) 
Errado
www.tecconcursos.com.br/questoes/167618
FCC - Ana (DPE RS)/DPE RS/Apoio Especializado (TI)/Informática/2013TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A gestão de riscos compreende atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos. Considere
I. As análises/avaliações de riscos devem ser realizadas periodicamente, para contemplar as
mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos,
ameaças, vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer.
II. O escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização, partes da
organização, em um sistema de informação específico, em componentes de um sistema específico ou
em serviços onde isto seja praticável, realístico e útil.
III. Antes de considerar o tratamento de um risco, a organização deve definir os critérios para
determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for
avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a
organização.
Está correto o que consta em
a) I, II e III.
b) II e III, apenas.
c) I, apenas.
https://www.tecconcursos.com.br/questoes/167618
d) I e III, apenas.
e) II, apenas.
Gabarito
401) A 402) B 403) A 404) Errado 405) Errado 406) A 407) Errado
408) Certo 409) D 410) A 411) B 412) C 413) D 414) A
415) C 416) Errado 417) D 418) Errado 419) Certo 420) Errado 421) Certo
422) Certo 423) C 424) D 425) B 426) E 427) Certo 428) B
429) A 430) Errado 431) Errado 432) Certo 433) C 434) Certo 435) Certo
436) Errado 437) Errado 438) Certo 439) Certo 440) Errado 441) D 442) B
443) C 444) A 445) Certo 446) Errado 447) Certo 448) Certo 449) B
450) D 451) A 452) B 453) C 454) A 455) B 456) Errado
457) Errado 458) Errado 459) Certo 460) Certo 461) Certo 462) A 463) A
464) D 465) Certo 466) Errado 467) E 468) D 469) A 470) A
471) E 472) Errado 473) D 474) D 475) E 476) A 477) D
478) A 479) A 480) A 481) D 482) A 483) Certo 484) Errado
485) Errado 486) Certo 487) Certo 488) Certo 489) Errado 490) Certo 491) Errado
492) Errado 493) Errado 494) B 495) B 496) A 497) B 498) B
499) A 500) A 501) Certo 502) A 503) D 504) A 505) D
506) E 507) D 508) B 509) B 510) C 511) A 512) C
513) B 514) B 515) B 516) A 517) A 518) E 519) A
520) B 521) B 522) E 523) E 524) E 525) C 526) A
527) C 528) A 529) E 530) B 531) E 532) A 533) D
534) Certo 535) Errado 536) Certo 537) Certo 538) C 539) D 540) A
541) B 542) E 543) Certo 544) Errado 545) A 546) C 547) E
548) C 549) D 550) A 551) B 552) D 553) D 554) C
555) A 556) C 557) B 558) Certo 559) C 560) Certo 561) Errado
562) Certo 563) Errado 564) Errado 565) Errado 566) Errado 567) Errado 568) E
569) D 570) C 571) A 572) B 573) Errado 574) Errado 575) Errado
576) Certo 577) E 578) Errado 579) Certo 580) Certo 581) Errado 582) Certo
583) Errado 584) Certo 585) Errado 586) Certo 587) Certo 588) C 589) C
590) A 591) C 592) Certo 593) Errado 594) Certo 595) C 596) D
597) Errado 598) Errado 599) Errado 600) A