Logo Passei Direto
Buscar

Gestão de Tecnologia da Informação

Outros
No contexto de um sistema de gestão da segurança da informação (SGSI), a disponibilização de documentos e evidências que permitam a verificação e a rastreabilidade de medidas corretivas e preventivas em segurança da informação estão incluídas nas ações vinculadas a
a) identificar os requisitos de SI.
b) selecionar e implementar os controles de SI.
c) avaliar os riscos de SI.
d) monitorar, manter e melhorar a eficácia do SGSI.
e) tratar os riscos de SI.
User badge image
Aprimorando com Questões

há 2 anos

User badge image
Aprimorando com Questões

há 2 anos

SIMULADO2 - Bloco 7 - Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024
132 pág.

SIMULADO2 - Bloco 7 - Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024

Respostas

User badge image

Ed Verified user icon

há 6 meses

Para responder a essa pergunta, precisamos entender o que cada uma das alternativas representa no contexto de um Sistema de Gestão da Segurança da Informação (SGSI). a) Identificar os requisitos de SI - Refere-se à definição do que é necessário para garantir a segurança da informação, mas não necessariamente à documentação de ações corretivas e preventivas. b) Selecionar e implementar os controles de SI - Envolve a escolha e a aplicação de medidas de segurança, mas não foca na documentação e rastreabilidade. c) Avaliar os riscos de SI - Trata da identificação e análise de riscos, mas não está diretamente relacionada à documentação de ações corretivas e preventivas. d) Monitorar, manter e melhorar a eficácia do SGSI - Esta opção envolve a supervisão contínua do sistema, incluindo a documentação e evidências necessárias para verificar e rastrear medidas corretivas e preventivas. e) Tratar os riscos de SI - Refere-se à implementação de ações para mitigar riscos, mas não necessariamente à documentação e rastreabilidade. Dessa forma, a alternativa que melhor se encaixa na descrição de disponibilização de documentos e evidências para verificação e rastreabilidade de medidas corretivas e preventivas é: d) monitorar, manter e melhorar a eficácia do SGSI.

Essa resposta te ajudou?

0
Dislike0
left-side-bubbles-backgroundright-side-bubbles-background

Crie sua conta grátis para liberar essa resposta. 🤩

Já tem uma conta?

Ao continuar, você aceita os Termos de Uso e Política de Privacidade

User badge image

Ed Verified user icon

há 2 anos

A disponibilização de documentos e evidências que permitam a verificação e a rastreabilidade de medidas corretivas e preventivas em segurança da informação estão incluídas nas ações vinculadas a letra "d) monitorar, manter e melhorar a eficácia do SGSI" em um sistema de gestão da segurança da informação (SGSI).

Essa resposta te ajudou?

0
Dislike0

Ainda com dúvidas?

Envie uma pergunta e tenha sua dúvida de estudo respondida!

Essa pergunta também está no material:

SIMULADO2 - Bloco 7 - Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024
132 pág.

SIMULADO2 - Bloco 7 - Gestão de Riscos (E2) para Concurso Nacional Unificado - 2024

Mais perguntas desse material

Conforme a norma ABNT NBR ISO/IEC 27005, no contexto da análise de riscos da organização, a partir da identificação de cenários de incidentes relevantes, de ameaças, de ativos afetados, de vulnerabilidades exploradas e de efeitos para os ativos e processos do negócio, convém que ocorra a

a) avaliação da probabilidade dos incidentes.
b) determinação do nível de risco.
c) descrição geral do processo de tratamento do risco.
d) análise qualitativa de riscos.
e) análise quantitativa de riscos.

A norma ABNT NBR ISO/IEC 27005 – Tecnologia da Informação – Técnicas de segurança – Gestão de Riscos de segurança da informação – estabelece quatro opções para o tratamento de riscos em um sistema de informação, sendo duas dessas opções:

a) replicação e divisão do risco.
b) modificação e retenção do risco.
c) absorção e participação do risco.
d) substituição e compactação do risco.
e) internalização e implementação do risco.

De acordo com a norma ABNT NBR ISO/IEC 27005:2019, em uma organização, o compartilhamento de determinado risco

a) tem potencial para criar novos riscos ou modificar riscos existentes e identificados.
b) tem potencial para evitar que ocorra a atividade ou condição que dá origem aos riscos.
c) permite à organização decidir sobre a retenção dos riscos com base em sua avaliação.
d) permite à organização deliberar sobre a aceitação dos riscos a partir de seu tratamento adequado.
e) permite à organização gerenciar o risco por meio de controles para reduzir o risco residual.

A norma NBR ISO/IEC 27005:2019 fornece diretrizes para a gestão de riscos de segurança da informação em uma organização. De acordo com esta norma, é conveniente que

a) o nível de risco seja determinado para todos os cenários de incidentes relevantes.
b) seja dada atenção unicamente a incidentes que causem consequências de natureza permanente.
c) o valor do impacto ao negócio seja sempre expresso de forma quantitativa.
d) controles para modificar, reter ou compartilhar os riscos sejam prontamente evitados.
e) sejam identificados somente os riscos cujas fontes estejam sob controle da organização.

Na NBR ISO 27005:2019, é estabelecido que a análise de riscos pode ser empreendida com diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Há uma metodologia de análise de riscos que utiliza uma escala com atributos que descrevem a magnitude das consequências potenciais (por exemplo, pequena, média e grande) e a probabilidade de essas consequências ocorrerem (por exemplo, alta, média e baixa). Essa metodologia de análise de riscos é classificada como

a) combinada
b) geométrica
c) ponderada
d) qualitativa
e) quantitativa

Na gestão de riscos e continuidade de negócio à luz da NBR ISO/IEC n.o 27005:2011, o processo de avaliação de riscos inclui

a) identificação de riscos e análise de riscos.
b) aceitação de riscos e tratamento de riscos.
c) tratamento de riscos e transferência do risco.
d) estabelecimento do contexto e tratamento de riscos.
e) identificação de riscos e mitigação de riscos.

De acordo com a Norma NBR ISO/IEC 27005, na avaliação das consequências da análise de riscos, para que a avaliação de impacto permita um processo de tomada de decisão mais eficiente, é indicado
a) expressar as consequências e o impacto de forma factual e realista para a organização.
b) elaborar uma escala com atributos descritores das consequências potenciais e do impacto.
c) utilizar um método para designar valores monetários para o impacto.
d) empregar análise qualitativa capaz de dimensionar com precisão a extensão do impacto.
e) apropriar dados estatísticos históricos para quantificar a dimensão do impacto.

Na gestão de incidentes de segurança da informação, um dos mecanismos de resposta a incidentes computacionais é
a) o plano de comunicação.
b) a monitoração.
c) a análise.
d) a avaliação de riscos.
e) a segurança de rede.

João foi contratado para fazer a gestão de risco em um órgão público de acordo com as diretrizes para o processo de gestão de riscos de segurança da informação estabelecidas na norma ABNT NBR ISO/IEC 27005:2019. João está trabalhando em sua tarefa incluindo, excluindo e alterando alguns controles. Com isso poderá avaliar os riscos residuais e considerá-los aceitáveis ou não. A etapa do processo de gestão de riscos de segurança da informação em que João está trabalhando é:
a) definição do contexto;
b) processo de avaliação de riscos;
c) tratamento de riscos;
d) aceitação de riscos;
e) monitoramento e análise crítica dos riscos.

Mais conteúdos dessa disciplina