sábado, 24 de abril de 2010

Questão do mês de abril



Acerca do processo ilustrado na figura acima, que apresenta as principais atividades envolvidas na gestão de riscos, conforme a ABNT NBR ISO/IEC 27005, publicada em 2008, julgue os próximos itens.

1- 167 Durante o início da adoção da gestão de riscos em uma organização, a aplicação de métodos quantitativos para cálculo do nível de risco ocorre principalmente durante a estimativa de riscos e tende a oferecer resultados mais confiáveis e eficazes comparativamente ao uso de métodos quantitativos, sobretudo quando os ativos no escopo apresentam elevada intangibilidade.

Errada. Interessante notar que a questão compara o método quantitativo com ele mesmo, logo, por questão de lógica, um método não pode ser melhor do que ele mesmo. A realidade é que existem dois métodos, o quantitativo e o qualitativo, o primeiro estima o impacto em valores (R$) e o segundo baseado em uma escala, geralmente probabilística. Um outro erro na questão é que o método quantitativo não não é indicado para situações onde os ativos apresentam elevada intangibilidade, porque se torna ineficaz a ação de quantificar a perda em um risco associada a um ativo deste tipo.

2- 168 A alta gestão da organização em escopo exerce maior influência sobre o ponto de decisão 1 que sobre o ponto de decisão 2, bem como contribui ativamente para prover informações quanto às fases de identificação de riscos, de definição do contexto e de análise crítica de riscos.

A alta administração da organização não executa a análise/avaliação de risco, ela aprova como que este processo deve ser realizado e define o critério de aceitação de risco, que é o ponto 2.



A respeito do diagrama acima, que apresenta um modelo conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue os itens 169 e 170.

3- 169 No modelo em apreço, o subsistema de planejamento do SGSI possui sobreposição de atividades com a fase de definição do contexto presente na norma ABNT NBR ISO/IEC 27005 bem como produz uma informação de saída similar àquela produzida durante o processo de aceitação do risco da mesma ABNT NBR ISO/IEC 27005.

Correto. A fase de definição de contexto da 27005 tem um propósito semelhante ao da 27001.

4- 170 Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.

Correto. A 27001 define um conjunto de documentos que mostrarão o que precisa ser feito e exige que haja registros, que são as evidências de que o que se está propondo fazer, realmente está sendo feito.


CESPE, TCU, auditor federal de controle externo, cargo 3