Prévia do material em texto

Prova Impressa
GABARITO | Avaliação I - Individual
(Cod.:825483)
Peso da Avaliação 1,50
Prova 63531945
Qtd. de Questões 10
Acertos/Erros 8/2
Nota 8,00
A segurança da informação é obtida com a implementação de controles, 
que deverão ser monitorados, analisados e consecutivamente melhorados, 
com o intuito de atender aos objetivos do negócio, mitigando os riscos e 
garantindo os preceitos de segurança da organização. Com base na tríade de 
segurança da informação, classifique V para as opções verdadeiras e F para 
as falsas:
( ) Integridade.
( ) Confidencialidade.
( ) Manutenibilidade.
( ) Disponibilidade.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - F - F.
B V - V - F - V.
C V - F - F - V.
D F - F - V - V.
Em segurança da informação, antes de executar o tratamento do risco, é 
necessário que sejam avaliados os critérios com relação à aceitação do risco. 
Para cada risco identificado deve se tomar uma decisão. As decisões são 
descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de 
práticas orientadas para a gestão da segurança da informação. Com base 
nessas decisões, classifique V para as sentenças verdadeiras e F para as 
falsas:
( ) Não deixar sem resposta o risco.
( ) Aplicar controles para reduzir os riscos.
( ) Não permitir ações que podem causar risco.
( ) Avaliar as formas de geração do risco.
Assinale a alternativa que apresenta a sequência CORRETA:
 VOLTAR
A+
Alterar modo de visualização
1
2
Avaliação I - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
1 of 6 14/05/2023, 22:09
A F - V - V - F.
B F - V - V - V.
C V - F - F - V.
D V - F - V - V.
A avaliação de risco é o processo de comparação dos resultados da 
análise de risco com critérios de risco previamente definidos, com o objetivo 
de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). Trata-se 
de um componente essencial de um processo de gerenciamento de riscos em 
toda a organização (NIST, 2012). A visão do ciclo de vida do processo de 
gerenciamento de riscos pela norma ISO/IEC 27005 tem seis grupos 
principais de atividades. Com base nesses grupos, analise as opções a seguir: 
I- Tratamento do risco.
II- Aceitação do risco.
III- Comunicação do risco.
IV- Transmissão do risco.
Assinale a alternativa CORRETA:
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. 
Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 
2020. 
NIST (National Institute of Standards and Technology). Guide for Conducting 
Risk Assessments - Information Security. 2012. Disponível em: 
https://nvlpubs.nist.gov/nistpubs/Legacy
/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021.
A As opções I, II e III estão corretas.
B Somente a opção I está correta.
C As opções I e IV estão corretas.
D Somente a opção II está correta.
O "risk management" é o processo pelo qual medimos ou estimamos o 
risco e depois desenvolvemos estratégias para governar. Na área de 
Tecnologia da Informação (TI) consideramos isto através da aplicação de 
métodos neste sentido. Com base no exposto, assinale a alternativa 
CORRETA:
A Tríade de segurança da informação.
B
3
4
Avaliação I - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
2 of 6 14/05/2023, 22:09
Gerenciamento de riscos.
C Risco comercial.
D Gestão de Segurança da Informação.
Em segurança da informação, antes de executar tratamento do risco, é 
necessário que sejam avaliados os critérios com relação à aceitação do risco. 
Para cada risco identificado deve se tomar uma decisão. As decisões são 
descritas pela norma ISO/IEC 17799 (2000), que descreve um conjunto de 
práticas orientadas para a gestão da segurança da informação. Com base 
nessas decisões, analise as sentenças a seguir:
I- Executar, cuidando com a chance de risco.
II- Reconhecer e aceitar o risco.
III- Não permitir ações que podem causar risco.
IV- Transferir, repassando o risco.
Assinale a alternativa CORRETA:
A As sentenças I e IV estão corretas.
B As sentenças II, III e IV estão corretas.
C As sentenças I, II e IV estão corretas.
D As sentenças I, II e III estão corretas.
A segurança da informação (SI) é obtida com a implementação de 
controles, que deverão ser monitorados, analisados e consecutivamente 
melhorados, com o intuito de atender aos objetivos do negócio, mitigando os 
riscos e garantindo os preceitos de segurança da organização. Com base no 
que faz parte da (CID), a tríade de SI, assinale a alternativa INCORRETA:
A Disponibilidade.
B Confidencialidade.
C Autenticidade.
D Integridade.
Considerando os princípios da avaliação de risco, a gestão ou análise do risco 
5
6
7
Avaliação I - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
3 of 6 14/05/2023, 22:09
deve em grande parte seguir uma estratégia de governança corporativa, que 
inclui tratar um ciclo de planejamento, execução, checagem e avaliação. 
Sobre o exposto, considerando as etapas provenientes da gestão de risco, 
analise as opções a seguir:
I- Alinhamento Estratégico.
II- Valor Entregue.
III- Segurança da Informação.
IV- Medida de Desempenho.
Assinale a alternativa CORRETA:
A As opções I, II e III estão corretas.
B Somente a opção III está correta.
C As opções I e III estão corretas.
D As opções I, II e IV estão corretas.
A avaliação de risco é o processo de comparação dos resultados da 
análise de risco com critérios de risco previamente definidos, com o objetivo 
de determinar se o risco é ou não aceitável (ISO/IEC 27005, 2018). A 
avaliação de riscos é um componente essencial de um processo de 
gerenciamento de riscos em toda a organização (NIST, 2012). A visão do ciclo 
de vida do processo de gerenciamento de riscos pela norma ISO/IEC 27005 
tem seis grupos principais de atividades. Com base no exposto, classifique V 
para as sentenças verdadeiras e F para as falsas:
( ) Definição do contexto.
( ) Probabilidade de risco.
( ) Análise/Avaliação de riscos.
( ) Impacto do risco.
Assinale a alternativa que apresenta a sequência CORRETA:
FONTE: ISO/IEC. 27005:2018, Information Security Risk Management. 2018. 
Disponível em: https://www.iso.org/standard/75281.html. Acesso em: 10 maio 
2021.
8
Avaliação I - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
4 of 6 14/05/2023, 22:09
NIST (National Institute of Standards and Technology). Guide for Conducting 
Risk Assessments - Information Security. 2012. Disponível em: 
https://nvlpubs.nist.gov/nistpubs/Legacy
/SP/nistspecialpublication800-30r1.pdf. Acesso em: 10 maio 2021.
A F - V - V - F.
B V - F - F - V.
C V - F - V - F.
D V - V - V - F.
Em sistemas de tecnologia da informação, uma estimativa de impacto 
pode ser obtida avaliando a perda em termos de integridade (exemplo: o 
recurso afetado foi alterado ou destruído), confidencialidade (exemplo: o 
recurso se torna conhecido pelo atacante) e disponibilidade (exemplo: acesso 
ao recurso negado). A norma ISO/IEC 27001 associa uma escala de valores 
de risco para cada um dos itens de segurança da informação. Com base nessa 
escala, classifique V para as opções verdadeiras e F para as falsas:
( ) Risco nulo.
( ) Risco baixo.
( ) Risco médio.
( ) Risco alto.
Assinale a alternativa que apresenta a sequência CORRETA:
A F - V - V - V.
B F - F - F - V.
C V - V - V - F.
D F - F - V - F.
O Nist descreve uma perspectiva de um processo de gestão de risco. A 
abordagem é compatível com o processo definido por ISO/IEC 27005. Com 
base nas quatro etapas do processo de gerenciamento de risco definido pela 
norma SP (do inglês, Special Publication) 800-30 do Nist, classifique V para 
as opções verdadeiras e F para as falsas:
( ) Estruturação. 
( ) Processamento.
( ) Avaliação.
( ) Monitoramento.
Assinale a alternativa que apresenta a sequência CORRETA:
9
10
Avaliação I - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
5 of 6 14/05/2023,22:09
A V - F - F - F.
B F - V - V - V.
C V - F - V - V.
D F - V - V - F.
Imprimir
Avaliação I - Individual https://ava2.uniasselvi.com.br/subject/grades-and-test...
6 of 6 14/05/2023, 22:09