Questão de Sistemas de Informação
Em uma organização os critérios de aceitação do risco dependem frequentemente das políticas, metas e objetivos, assim como dos interesses das partes interessadas. Segundo a norma ABNT NBR ISO/IEC 27005:2011, cada organização pode definir sua própria escala de níveis de aceitação do risco, considerando que critérios para a aceitação do risco
A
devem incluir apenas um limite, representando um nível desejável de risco, porém precauções devem ser tomadas por gestores de TI para que não sejam aceitos riscos acima desse nível.
B
devem ser expressos como a razão entre o efeito estimado e a probabilidade da ocorrência do risco.
C
diferentes podem ser aplicados a classes de risco diferentes, por exemplo, riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto podem ser aceitos se isto for especificado como um requisito contratual.
D
não podem incluir requisitos para um tratamento adicional futuro, já que tentativas de ações futuras para reduzir o risco a um nível aceitável podem falhar.
E
não podem ser diferenciados de acordo com o tempo de existência previsto do risco, pois os riscos não estão associados a atividades temporárias ou de curto prazo.
Ainda não há comentários para esta questão.
Seja o primeiro a comentar!
Aulas em vídeo Em breve
00:00