01

Q855651
Aplicada em: 2017
Banca: CESPE
Órgão: TRF - 1ª REGIÃO
Prova: Analista Judiciário - Informática

Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece
diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de
uma organização.

As opções para tratamento do risco de segurança da informação — modificação do

risco, retenção do risco, ação de evitar o risco e compartilhamento do risco — não são
mutuamente exclusivas.

Certo

Errado

Responder

Correta (acertei!)

02
Q855652
Segurança da Informação
Norma 27005
Ano: 2017
Banca: CESPE
Órgão: TRF - 1ª REGIÃO
Prova: Analista Judiciário - Informática
(- provas)

Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece
diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de
uma organização.

Na fase executar são realizadas ações que incluem a reaplicação do processo de GRSI.


 Certo ---------- minha resposta (ERRADO)

Errado

Planejar
º Definição do contexto
º Processo de avaliação de riscos
º Definição do plano de tratamento do risco
º Aceitação do risco

Executar

º Implementação do plano de tratamento do risco

Verificar
º Monitoramento contínuo e análise crítica de riscos

Agir

º Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação.

? Fk2flzG+JPw kFR

Responder

Ano: 2017
Banca: CESPE
Órgão: TRF - 1ª REGIÃO
Prova: Analista Judiciário - Informática
(- provas)

3 Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece
diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de
uma organização.

Entre os ativos de suporte e infraestrutura incluem-se os recursos humanos, as

instalações físicas e a estrutura da organização.


 Certo -------------- ACERTEI !!!

Errado

Responder

04
Q855654
Segurança da Informação
Norma 27005
Ano: 2017
Banca: CESPE
Órgão: TRF - 1ª REGIÃO
Prova: Analista Judiciário - Informática
(- provas)
Resolvi certo

Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece
diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de
uma organização.

A qualidade e a exatidão do processo de análise quantitativa de riscos estão relacionadas

à disponibilidade de dados históricos e auditáveis.

Certo -- MINHA RESPOSTA

Errado

Parabéns! Você acertou!

05
Q847410
Segurança da Informação
Norma 27005
Ano: 2017
Banca: CESPE
Órgão: TRT - 7ª Região (CE)
Prova: Analista Judiciário - Tecnologia da Informação
(- provas)
Resolvi certo
De acordo com a ABNT NBR ISO/IEC 27005, o propósito da gestão de riscos de
segurança da informação pode ser
a)
preparar um plano de resposta a incidentes. - MINHA RESPOSTA
b)
monitorar controles de segurança da informação.
c)
executar o processo de avaliação de riscos.
d)
definir políticas.

Parabéns! Você acertou!

06
Q847411
Segurança da Informação
Norma 27005
Ano: 2017
Banca: CESPE
Órgão: TRT - 7ª Região (CE)
Prova: Analista Judiciário - Tecnologia da Informação
(- provas)
Resolvi certo
De acordo com a ABNT NBR ISO/IEC 27005, a primeira etapa do processo de
avaliação de riscos consiste em
a)
avaliar os riscos.
b)
tratar os riscos.
c)
monitorar os riscos.
d)
identificar os riscos. -------------- CORRETA!!!
Parabéns! Você acertou!

Consider the statements below.

I. It is defined as a procedure requiring the combination of several factors, including at

least two of the following: Knowledge-something the user knows, e.g., a password, a
personal identification number (PIN); Ownership-something the user has, e.g., token,
smart card, mobile phone/SIM; Inherence − something the user is, e.g., fingerprint. It is
worth highlighting that the aforementioned requirement of having mutually independent
factors could be difficult to match. In fact, in the context of access to Internet services,
when using ownership and inherence factors as well as when inputting a PIN or
password, the user transmits digital data to the verifying counterpart, so that regardless
of the generating factor, susceptibility to interception is a common vulnerability.

II. Security administration can be costly and prone to error because administrators
usually specify access control lists for each user on the system individually. With this
kind of control, security is managed at a level that corresponds closely to the
organization's structure. Each user is assigned one or more roles, and each role is
assigned one or more privileges that are permitted to users in that role. Security
administration with it consists of determining the operations that must be executed by
persons in particular jobs, and assigning employees to the proper roles. Complexities
introduced by mutually exclusive roles or role hierarchies are handled by its software,
making security administration easier.

The statements I and II refers respectively to

a)
ABNT NBR ISO/IEC 27001:2013 − ABNT NBR ISO/IEC 27005:2011
b)
ABNT NBR ISO/IEC 27005:2011 − ABNT NBR ISO/IEC 27002:2013
c)
Multiple Factor Authentication − RBAC (Role Based Access Control)
d)
Multiple Factor Authentication − SSO (Single Sign-On)
e)
SSO (Single Sign-On) − RBAC (Role Based Access Control)
Você errou! Resposta: c
Responder






 1 comentário
 estatísticas
 adicionar a um caderno
 fazer anotações
 notificar erro

Você configurou para não ver comentários antes de resolver uma questão.

Mudar as configurações
Ordenar por: Data Mais úteis
Acompanhar comentários
Parar de acompanhar

Rodrigo Marcelo
23 de Setembro de 2017, às 00h06
Útil (3)

Multi-factor authentication (MFA) is a method of computer access control in which

a user is granted access only after successfully presenting several separate pieces of
evidence to an authentication mechanism – typically at least two of the following
categories: knowledge (something they know), possession (something they have), and
inherence (something they are).[1][2]

https://en.wikipedia.org/wiki/Multi-factor_authentication

RBAC (Role Based Access Control) :

The key word is in the text: Security administration can be costly and prone to error
because administrators usually specify access control lists for each user on the system
individually.

Letter C

08
Q835369
Segurança da Informação
Norma 27005, Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2017
Banca: CESPE
Órgão: TRE-BA
Prova: Técnico Judiciário – Operação de Computadores
(- provas)
Resolvi errado
O processo de gestão de risco, de acordo com a NBR ISO/IEC 27005, inicia-se com
o(a)
a)
identificação de riscos.
b)
definição do contexto.
c)
avaliação de riscos.
d)
tratamento do risco.
e)
monitoração dos riscos.

PROCESSOS DE GESTÃO DE RISCO

1. Definição do contexto

2. identificação de risco

3. análise de risco

4. avaliação de risco

5. Tratamento de risco

6. Aceitação de risco

******************************//////////////********************************

09
Q835409
Segurança da Informação
Norma 27005
Ano: 2017
Banca: CESPE
Órgão: TRE-BA
Prova: Técnico Judiciário – Programação de Sistemas
(- provas)
Resolvi errado
De acordo com a Norma ABNT NBR ISO/IEC 27005, assinale a opção correta a
respeito da gestão de risco de TI.
a)
Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são
determinados os valores dos ativos da organização, identificadas as ameaças e
vulnerabilidades existentes e determinadas as potenciais consequências dessas ameaças
e vulnerabilidades.
b)
A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A
identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos.
c)
Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis,
dentre os quais a organização deve optar pelo mais adequado aos seus negócios.
d)
Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos
sejam reavaliados periodicamente, entre um mês e um semestre.
e)
A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si:
redução, retenção, evitação e transferência de risco.

Você errou! Resposta: e

Responder






 5 comentários
 estatísticas
 adicionar a um caderno
 fazer anotações
 notificar erro

Você configurou para não ver comentários antes de resolver uma questão.

Mudar as configurações
Ordenar por: Data Mais úteis
Acompanhar comentários
Parar de acompanhar

joao marcos
09 de Janeiro de 2018, às 18h37
Útil (0)

PROCESSOS DE GESTÃO DE RISCO

1. Definição do contexto

2. identificação de risco

3. análise de risco

4. avaliação de risco

5. Tratamento de risco (opções, não excludentes entre si: redução, retenção,

evitação e transferência de risco).
6. Aceitação de risco

10
Q844768
Segurança da Informação
Norma 27005
Ano: 2017
Banca: FCC
Órgão: ARTESP
Prova: Especialista em Regulação de Transporte I – Tecnologia da Informação
(- provas)
Resolvi errado
Segundo a Norma ABNT NBR ISO/IEC 27005:2011, a análise de riscos pode ser
empreendida com diferentes graus de detalhamento, dependendo da criticidade dos
ativos, da extensão das vulnerabilidades conhecidas e dos incidentes anteriores
envolvendo a organização. Uma metodologia para análise de riscos pode ser
quantitativa, qualitativa ou uma combinação de ambas. A análise quantitativa
a)
é utilizada em primeiro lugar, na prática, para obter uma indicação geral do nível de
risco e para revelar os grandes riscos.
b)
é normalmente menos complexa e menos onerosa que a análise qualitativa, já que a
análise qualitativa é focada somente nos grandes riscos.
c)
de riscos utiliza uma escala com atributos quantificadores que descrevem a magnitude
das consequências potenciais (pequena, média ou grande) e a probabilidade dessas
consequências ocorrerem.
d)
de riscos tem como vantagem a facilidade de compreensão por todas as pessoas
envolvidas, enquanto sua desvantagem é a dependência da escolha subjetiva da escala.
e)
utiliza dados históricos dos incidentes, na maioria dos casos, proporcionando a
vantagem de poder ser relacionada diretamente aos objetivos da segurança da
informação e interesses da organização.
Você errou! Resposta: e
Responder






 3 comentários
 estatísticas
 adicionar a um caderno
 fazer anotações
 notificar erro
Você configurou para não ver comentários antes de resolver uma questão.

Mudar as configurações
Ordenar por: Data Mais úteis
Acompanhar comentários
Parar de acompanhar

Ualison Frota
08 de Novembro de 2017, às 23h25
Útil (1)

Análise Qualitativa = Subjetiva

Este é o processo de priorização dos riscos para análise ou ação adicional através da
avaliação e combinação de sua probabilidade de ocorrência e impacto. Neste processo,
faremos uma análise subjetiva com o propósito de priorizar riscos a partir da
probabilidade de impacto medida durante a análise dos riscos e, também, determinar o
que precisa ser analisado quantitativamente ou não antes de ser construído o plano de
resposta aos riscos.

Análise Quantitativa = Números

Este é o processo de analisar numericamente os efeitos dos riscos nos objetivos

gerais do projeto. Iremos considerar, por meio de análises, a exposição que o projeto
tem aos riscos identificados. Para tais análises são utilizadas, em geral, simulações de
cenários como a técnica de Monte Carlo. Este processo pode ser realizado com a
entrada dos riscos registrados e priorizados pela análise qualitativa. Vale lembrar que os
riscos a serem analisados aqui serão aqueles que podem trazer maior prejuízo ou
impacto significativo ao projeto. Em projetos pequenos não são aplicadas as técnicas
que veremos a seguir.

Fonte: https://sitecampus.com.br/vamos-planejar-analise-qualitativa-quantitativa-dos-
riscos/

Bons estudos

11
Q839368
Segurança da Informação
Norma 27005, Análise de Vulnerabilidade e Gestão de Riscos
Ano: 2017
Banca: FCC
Órgão: TRT - 24ª REGIÃO (MS)
Prova: Analista Judiciário - Tecnologia da Informação
(- provas)

Considere os processos abaixo.

Errado!
Processos do SGSI

− Planejar.

− Executar.

− Verificar.

− Agir.

Processos de GRSI

− Definição do contexto.

− Avaliação de riscos.

− Definição do plano de tratamento do risco.

− Aceitação do risco.

− Implementação do plano de tratamento do risco.

− Monitoramento contínuo e análise crítica de riscos.

− Manter e melhorar o processo de GRSI.

A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do

Sistema de Gestão da Segurança da Informação – SGSI e do processo de Gestão de
Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de GRSI
denominado

a)
"Aceitação do risco" está alinhado com o processo do SGSI "Planejar".
b)
"Avaliação de riscos" está alinhado com o processo do SGSI "Verificar".
c)
"Manter e melhorar o processo de GRSI" está alinhado com o processo do SGSI
"Verificar".
d)
"Implementação do plano de tratamento do risco" está alinhado com o processo do
SGSI "Agir".
e)
"Aceitação do risco" está alinhado com o processo do SGSI "Verificar".
Responder






 3 comentários
 estatísticas
 adicionar a um caderno
 fazer anotações
 notificar erro

Você configurou para não ver comentários antes de resolver uma questão.

Mudar as configurações
Ordenar por: Data Mais úteis
Acompanhar comentários
Parar de acompanhar

Giordanno Martins
07 de Outubro de 2017, às 13h34
Útil (14)

Dica para aprender sobre as fases em relação ao PDCA: Apenas os 3 últimos processos
não são de planejamento. Sendo assim, os processos de GRSI ficam organizados como:

Planejamento (Plan):

− Definição do contexto.

− Avaliação de riscos.

− Definição do plano de tratamento do risco.

− Aceitação do risco.

Realizar/executar (Do)
− Implementação do plano de tratamento do risco.

Verificar (Check)

− Monitoramento contínuo e análise crítica de riscos.

Agir (Act)

− Manter e melhorar o processo de GRSI.

? Fk2flzG+JPw kFR

Reportar abuso
Justificativa (obrigatória)

Abuso reportado. O QC tomará as medidas necessárias.

Thiago Amazonas
27 de Setembro de 2017, às 07h55
Útil (3)

PDCA x 27005

Planejar: Definição do contexto, Análise/avaliação de riscos, Plano de tratamento do

risco, Aceitação do risco.
Executar: Implementação do plano de tratamento do risco.
Verificar: Monitoramento contínuo e análise crítica de riscos
Agir: Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação.

? Fk2flzG+JPw kFR