O processo de avaliação de riscos é composto por quatro atividades: identificação dos riscos; análise dos riscos; avaliação dos riscos; e eliminação dos riscos.

Quanto aos critérios para a aceitação dos riscos, é importante que a organização defina sua própria escala de níveis de aceitação do risco e que itens, como, por exemplo, operações, tecnologia, finanças, entre outros, serão considerados.

O processo de gestão de riscos é contínuo, mas não pode interagir com a avaliação de riscos e com a atividade de tratamento do risco.

De acordo com a Norma NBR ISO/IEC n.º 27002:2013, a criptografia não deve ser usada como mecanismo de proteção da informação, já que essa Norma a considera como um método desatualizado e ineficaz.

Segundo a Norma NBR ISO/IEC n.º 27002:2013, o controle de acesso tem como único objetivo impedir o acesso não autorizado a sistemas e aplicações.

Conforme a Norma NBR ISO/IEC n.º 27001:2013, a organização deverá manter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.

Segundo a Norma NBR ISO/IEC n.º 27001:2013, antes de uma empresa iniciar um processo de gestão de riscos, ela deverá determinar as partes interessadas que são relevantes para o Sistema de Gestão da Segurança da Informação e os requisitos dessas partes interessadas que são relevantes para a segurança da informação.

De acordo com a Norma NBR ISO/IEC n.º 27001:2013, é possível aplicar processos de avaliação de risco, permitindo a identificação de vulnerabilidades que afetariam os ativos da empresa.

Assinale a alternativa que descreve a importância da organização da segurança da informação em uma empresa e como isso se relaciona com a gestão de ativos.

Qual é a diferença entre criptografia simétrica e criptografia assimétrica?