(FCC/2012 - adaptado) Todas as atividades desenvolvidas por uma organização detêm certo grau de risco. Sobre o gerenciamento de riscos é correto afirmar:
A
Convém que a análise/avaliação de riscos considere apenas os recursos de processamento das informações, e inclua os resultados específicos da segurança da informação. Os processos de negócio não são relevantes nesse contexto.
B
Os resultados da análise/avaliação de riscos ajudarão a direcionar e a determinar as ações gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurança da informação, e para a implementação dos controles selecionados para a proteção contra estes riscos.
C
A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio; porém, não deve ser; respeita periodicamente.
D
Uma vez que os riscos tenham sido identificados, os decisões para o tratamento dos riscos têm sido tomadas, e necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados ou sejam reduzidos a zero.
