5
(FCC/2012 - adaptado) Todas as atividades desenvolvidas por uma organizaçāo detêm certo grau de risco. Sobre o gerenciamento de riscos é correto afirmar:
Convém que a análise/avaliaçāo de riscos considere apenas os recursos de processamento das informaçōes, e inclua os resultados especificos da
A segurança da informaçāo. Os processos de negócio nāo sāo relevantes nes contexto.
Os resultados da análise/avaliaçāo de riscos ajudarāo a direcionar e a determinar as açōes gerenciais apropriadas e as prioridades para o
B gerenciamento dos riscos da segurança da informaçāo, e para a implementaçāo dos controles selecionados para a proteçāo contra estes riscos.
Uma vez que os riscos tenham sido identificados e as decisōes para o tratamento dos riscos tenham sido tomadas, é necessário que controles
c sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero.
A análise/avaliaçāo de riscos deve contemplar todos os riscos internos e
D externos que podem afetar a continuidade do negócio, porém, nāo deve ser repetida periodicamente.
A seleçāo de controles de segurança da informaçāo depende
E exclusivamente das decisōes da organizaçāo, baseadas nos critérios para aceitaçāo de risco. Nesse contexto, as législaçōes e regulamentaçōes nacionais sāo irrelevantes.
