Em segurança da informação, antes de executar o tratamento do risco, é necessário que sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de práticas orientadas para a gestão da segurança da informação. Com base nessas decisões, analise as opções a seguir: I - Não deixar sem resposta o risco. II - Aplicar controles para reduzir os riscos. III - Não permitir ações que podem causar risco. IV - Avaliar as formas de geração do risco.

Análise da Questão

Esta questão aborda Gestão de Riscos em Segurança da Informação, especificamente sobre tratativas de risco conforme normas ISO. Embora não seja uma questão de Direito Administrativo tradicional, farei a análise técnica correta.

Alternativa A - II e III

Fundamentação Técnica

📋 O que diz a norma ISO/IEC 27001 (sucessora da 17799)

A norma define 4 opções de tratamento de risco:

🔍 Análise das Afirmações

## Pegadinha Identificada

⚠️ "Não deixar sem resposta" ≠ obrigatório!

A pegadinha mais comum nesta questão é acreditar que todo risco deve ser tratado. Na realidade:

• Se um risco está dentro do nível de apetite ao risco da organização, ele pode ser ACEITO
• A aceitação é uma forma válida de tratamento quando documentada e justificada
• Item I contradiz isso ao dizer que NÃO PODE deixar sem resposta

Conclusão

As decisões corretas de tratamento de risco são:

• II - Redução (mitigação com controles)
• III - Evitação (eliminar a causa do risco)

O item I está errado porque aceita-se risco como opção.
O item IV está errado porque avaliação é fase anterior ao tratamento.

Alternativa A ✅