(FCC/2012 - adaptado) Todas as atividades desenvolvidas por uma organização detêm certo grau de risco. Sobre o gerenciamento de riscos é correto af...
(FCC/2012 - adaptado) Todas as atividades desenvolvidas por uma organização detêm certo grau de risco. Sobre o gerenciamento de riscos é correto afirmar:
A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco. Nesse contexto, as legislações e regulamentações nacionais são irrelevantes. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos sejam tomadas, é desnecessário monitorar sua execução. Um software não educacional é todo aquele que não possui nenhuma licença de propriedade intelectual, tornando-o uma fonte de risco para a organização. Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos sejam tomadas, não é necessário verificar como tais riscos são tratados na prática. A seleção de controles de segurança da informação depende exclusivamente das decisões da organização, baseadas nos critérios para aceitação de risco, porém sempre considerando as leis e regulamentações aplicáveis.
Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos.