Em segurança da informação, antes de executar tratamento do risco, é necessário que sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de práticas orientadas para a gestão da segurança da informação.
Com base nessas decisões, analise as sentenças a seguir:
I. Executar, cuidando com a chance de risco.
II. Reconhecer e aceitar o risco.
III. Não permitir ações que podem causar risco.
IV. Transferir, repassando o risco.
III e IV, apenas.
I, II e III, apenas.
I e IV, apenas.
II, III e IV, apenas.
I, II e IV, apenas.

Question

Em segurança da informação, antes de executar tratamento do risco, é necessário que sejam avaliados os critérios com relação à aceitação do risco. Para cada risco identificado deve se tomar uma decisão. As decisões são descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de práticas orientadas para a gestão da segurança da informação.

Com base nessas decisões, analise as sentenças a seguir:

I. Executar, cuidando com a chance de risco.

II. Reconhecer e aceitar o risco.

III. Não permitir ações que podem causar risco.

IV. Transferir, repassando o risco.

III e IV, apenas.
I, II e III, apenas.
I e IV, apenas.
II, III e IV, apenas.
I, II e IV, apenas.

Sapien IA · Accepted Answer

Análise da Questão de Segurança da Informação

Esta questão aborda conceitos de Gestão de Riscos em Segurança da Informação, especificamente relacionados à norma ISO/IEC 17799 (hoje incorporada na série ISO/IEC 27000).

Alternativa D - II, III e IV, apenas

## Contexto Normativo

A ISO/IEC 17799 (posteriormente ISO/IEC 27002) estabelece práticas para gestão de segurança da informação. No tratamento de riscos identificados, existem opções padronizadas para decisão.

## Análise das Sentenças

Sentença	Análise	Status
I. Executar, cuidando com a chance de risco	Linguagem imprecisa. Não é termo técnico oficial. O correto seria "mitigar" ou "reduzir" o risco, não apenas "cuidar".	❌ INCORRETA
II. Reconhecer e aceitar o risco	Corresponde à opção Risk Acceptance. Quando o risco está dentro do apetite organizacional.	✅ CORRETA
III. Não permitir ações que podem causar risco	Corresponde à opção Risk Avoidance. Elimina-se a atividade que gera o risco.	✅ CORRETA
IV. Transferir, repassando o risco	Corresponde à opção Risk Transfer. Terceiriza-se o risco (ex: seguros, contratos).	✅ CORRETA

## Pegadinha Identificada

⚠️ Atenção ao item I: Esta é uma clássica pegadinha!

A frase "Executar, cuidando com a chance de risco" parece plausível no senso comum
Porém, nos padrões técnicos, a opção correta se chama "Mitigar" ou "Tratar" o risco
Expressões informais como "cuidar" não constituem opções formais de tratamento de risco segundo a ISO

## Conclusão

As decisões corretas sobre tratamento de risco são:

Aceitação (Item II)
Evitação (Item III)
Transferência (Item IV)
(Omitida) Mitigação - seria o equivalente técnico ao item I, mas com terminologia adequada

Portanto, apenas os itens II, III e IV estão corretos.

Alternativa D.

Explicação passo a passo

Análise da Questão de Segurança da Informação

## Contexto Normativo

## Análise das Sentenças

## Pegadinha Identificada

## Conclusão

Mais questões de Informática

Tem outra questão de Informática?