Última Atualização 2 de dezembro de 2020
RISCO INERENTE E RESIDUAL
A administração leva em conta tanto o risco inerente quanto o residual.
Risco inerente é o risco que uma organização terá de enfrentar na falta de medidas que a administração possa adotar para alterar a probabilidade ou o impacto dos eventos.
Risco residual é aquele que ainda permanece após a resposta da administração.
A avaliação de riscos é aplicada primeiramente aos riscos inerentes. Após o desenvolvimento das respostas aos riscos, a administração passará a considerar os riscos residuais.
QUESTÃO ERRADA: Risco inerente é aquele que perdura mesmo depois da resposta dos dirigentes da organização.
O conceito apresentado é o de Risco Residual e não Risco Inerente como afirmado no item.
QUESTÃO CERTA: De acordo com a norma NBR ISO/IEC 27005, considera-se risco residual aquele remanescente após o tratamento do risco, podendo o risco residual conter riscos não identificados.
QUESTÃO CERTA: O tratamento de riscos, parte integrante da segurança da informação, envolve algumas opções, sendo correto que, na opção: de modificação de um risco, são incluídos, excluídos ou alterados controles, tal que o risco residual possa ser considerado aceitável.
QUESTÃO CERTA: No processo de tratamento do risco de segurança da informação, segundo a norma ABNT NBR ISO/IEC 27005:2011: o nível de risco pode ser gerenciado através da inclusão, exclusão ou alteração de controles, para que o risco residual possa ser reavaliado e então considerado aceitável.