Questão número 302188

Os resultados da análise/avaliação de riscos ajudam a direcionar e determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento e para a implementação dos controles selecionados para a proteção contra esses riscos.

De acordo com a ISO/IEC 27002,

• A.

  o escopo de uma análise/avaliação de riscos deve ser, obrigatoriamente, toda a organização, pois essa é a única forma de garantir a segurança de forma integral.

• B.

  o processo de avaliar os riscos de segurança da informação e selecionar os controles deve ser realizado apenas uma vez, preferencialmente antes da implantação de qualquer sistema, de forma antecipada, para que se possam evitar situações inesperadas.

• C.

  as análises/avaliações de riscos são muito peculiares e específicas, por isso não podem ser realizadas de forma metódica nem são capazes de gerar resultados que podem ser comparados ou reproduzidos.

• D.

  convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e que inclua relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

• E.

  convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para a aceitação dos riscos e dos objetivos relevantes não apenas para a organização e sim para toda a comunidade de atuação e seu mercado.