NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Melhore a sua preparação para o exame ISACA com os testes práticos CRISC

Obtenha uma vantagem competitiva com as perguntas do exame ISACA CRISC da SPOTO, concebidas para elevar o seu percurso de certificação Certified in Risk and Information Systems Control (CRISC). Mergulhe nas perguntas e respostas abrangentes do exame, concebidas para melhorar a sua compreensão da gestão do risco, da entrega de valor às partes interessadas e da otimização da resiliência do negócio. Com as perguntas de teste e os materiais de preparação para o exame da SPOTO, adopte uma abordagem proactiva baseada na metodologia Agile para navegar eficazmente em cenários de risco complexos. Aceda a materiais de estudo valiosos e a recursos de exame seleccionados para o ajudar a passar com sucesso. Participe em exames simulados realistas para simular o ambiente do exame e aumentar a sua confiança. Prepare-se com a SPOTO e torne-se um profissional certificado CRISC, equipado para impulsionar a excelência da gestão de riscos e o sucesso empresarial na sua organização.
Faça outros exames online
Pergunta #1
Qual das seguintes opções deve ser PRIMARIAMENTE considerada na conceção dos controlos dos sistemas de informação?
A. O plano estratégico de TI
B. O ambiente informático existente
C. O plano estratégico da organização
D. O atual orçamento de TI
Ver resposta
Resposta correta: C

View The Updated CRISC Exam Questions

SPOTO Provides 100% Real CRISC Exam Questions for You to Pass Your CRISC Exam!

Get CRISC Practice Test
Pergunta #2
Qual das seguintes opções pode ser interpretada a partir de um único ponto de dados num mapa de calor de risco?
A. Apetite pelo risco
B. Magnitude do risco
C. Resposta aos riscos
D. Tolerância ao risco
Ver resposta
Resposta correta: B
Pergunta #3
Um fornecedor de serviços baseados na Web com uma baixa apetência pelo risco de interrupções do sistema está a rever o seu atual perfil de risco para a segurança em linha. Qual das seguintes observações seria a MAIS relevante para transmitir à direção?
A. Um aumento das tentativas de ataques distribuídos de negação de serviço (DDoS)
B. Um aumento das tentativas de ataques de phishing a sítios Web
C. Uma diminuição das vulnerabilidades de segurança da Web corrigidas
D. Uma diminuição do cumprimento dos acordos de nível de serviço (SLA)
Ver resposta
Resposta correta: A
Pergunta #4
Qual das seguintes seria a MELHOR recomendação se o nível de risco no perfil de risco de TI tivesse diminuído e estivesse agora abaixo do apetite de risco da administração?
A. Diminuir o número de cenários de risco relacionados
B. Otimizar o ambiente de controlo
C. ealinhar a apetência pelo risco com o nível de risco atual
D. eduzir o orçamento de gestão do risco
Ver resposta
Resposta correta: B
Pergunta #5
Uma organização tem de implementar alterações em resultado de novos regulamentos. Qual das seguintes opções o profissional de risco deve fazer PRIMEIRO para se preparar para essas mudanças?
A. Contactar o departamento jurídico
B. Efetuar uma análise das lacunas
C. mplementar controlos de compensação
D. Rever o perfil de risco
Ver resposta
Resposta correta: B
Pergunta #6
Você e a sua equipa de projeto identificaram alguns eventos de risco no projeto e registaram-nos no registo de riscos. Parte do registo dos eventos inclui a identificação de um proprietário do risco. Quem é o proprietário do risco?
A. Um proprietário do risco é a parte que irá monitorizar os eventos de risco
B. Um proprietário do risco é a parte que pagará o custo do evento de risco se este se tornar um problema
C. proprietário do risco é a parte que causou o evento de risco
D. Um proprietário do risco é a parte autorizada a responder ao evento de risco
Ver resposta
Resposta correta: D
Pergunta #7
Ao recolher informações para identificar os riscos relacionados com as TI, o técnico de riscos deve centrar-se, em primeiro lugar, nas TI:
A. olíticas de segurança
B. apas de processos
C. ível de tolerância ao risco,
D. Apetite pelo risco
Ver resposta
Resposta correta: A
Pergunta #8
Qual dos seguintes titulares de funções decidirá o indicador-chave de risco da empresa? Cada resposta correcta representa uma parte da solução. Escolha duas.
A. Líderes empresariais
B. Quadros superiores
C. Recursos humanos
D. Diretor financeiro
Ver resposta
Resposta correta: AB
Pergunta #9
Qual das seguintes opções MELHOR garante que uma firewall está configurada em conformidade com a política de segurança de uma empresa?
A. Entrevistar o administrador da firewall
B. Rever os procedimentos actuais
C. ever o ficheiro de registo do dispositivo para ataques recentes
D. ever as definições dos parâmetros
Ver resposta
Resposta correta: D
Pergunta #10
Qual das seguintes opções constitui o maior risco para a elaboração de relatórios?
A. Integridade dos dados
B. Disponibilidade dos dados
C. Confidencialidade dos dados
D. Fiabilidade dos dados
Ver resposta
Resposta correta: D
Pergunta #11
Qual das seguintes opções é a mais eficaz para permitir que um gestor de operações comerciais identifique eventos que excedam os limites de risco?
A. autoavaliação do controlo
B. Avaliação comparativa com os seus pares
C. Registo de transacções
D. Monitorização contínua
Ver resposta
Resposta correta: D
Pergunta #12
A Joana é a gestora de projeto da sua organização. Ela está a trabalhar com a equipa do projeto para concluir a análise qualitativa dos riscos do seu projeto. Durante a análise, a Courtney encoraja a equipa do projeto a começar a agrupar os riscos identificados por causas comuns. Qual é a principal vantagem de agrupar os riscos por causas comuns durante a análise qualitativa de riscos?
A. Ajuda a equipa do projeto a perceber as áreas do projeto mais carregadas de riscos
B. Ajudam a desenvolver respostas eficazes aos riscos
C. oupa tempo ao reunir os recursos relacionados, tais como os membros da equipa do projeto, para analisar os eventos de risco
D. Pode levar à criação de categorias de risco exclusivas para cada projeto
Ver resposta
Resposta correta: B
Pergunta #13
Uma organização pretende avaliar a maturidade do seu ambiente de controlo interno. O PRIMEIRO passo deve ser:
A. dentificar os principais responsáveis pelos processos
B. alidar a execução do processo de controlo
C. eterminar se os controlos são eficazes
D. fetuar uma avaliação de base
Ver resposta
Resposta correta: D
Pergunta #14
Trabalha como gestor de projectos para a Bluewell Inc. Identificou um risco de projeto. Depois de ter implementado o plano de ação para o risco, este acabou por não ser eficaz. Que tipo de plano deve ser implementado neste caso?
A. Atenuação dos riscos
B. Plano de recuperação de riscos
C. Prevenção de riscos
D. Plano de resposta aos riscos
Ver resposta
Resposta correta: B
Pergunta #15
Qual das seguintes opções é a MAIS importante para o desenvolvimento de indicadores-chave de desempenho (KPI)?
A. Alinhamento com os relatórios de gestão
B. Alinhamento com as respostas aos riscos
C. Alertas quando os limiares de risco são atingidos
D. Identificação de tendências
Ver resposta
Resposta correta: D
Pergunta #16
Quem deve ser responsável por garantir que são estabelecidos controlos eficazes da cibersegurança?
A. Função de gestão da segurança
B. Função de risco da empresa
C. Proprietário do risco
D. Gestão de TI
Ver resposta
Resposta correta: C
Pergunta #17
Uma organização tem quatro projectos diferentes a competir por financiamento para reduzir o risco global de TI. Que projeto deve a administração adiar?
A. Projeto Alfa
B. Projeto Bravo
C. rojeto Charlie
D. Projeto Delta
Ver resposta
Resposta correta: C
Pergunta #18
O objetivo PRIMÁRIO de testar a eficácia de um novo controlo antes da sua implementação é
A. umprir a política da organização
B. ssegurar que o risco é atenuado pelo controlo
C. onfirmar o alinhamento do controlo com os objectivos empresariais
D. edir a eficiência do processo de controlo
Ver resposta
Resposta correta: D
Pergunta #19
Qual das seguintes opções MELHOR ajudará a reduzir o risco associado à funcionalidade maliciosa no desenvolvimento de aplicações subcontratadas?
A. Utilizar o processo de gestão da mudança
B. Validar a funcionalidade executando-a num ambiente de teste
C. Efetuar uma revisão aprofundada do código com um perito
D. Implementar um acordo de nível de serviço
Ver resposta
Resposta correta: C
Pergunta #20
Se os controlos preventivos não puderem ser implementados devido a limitações tecnológicas, qual das seguintes medidas deve ser tomada PRIMEIRO para reduzir o risco?
A. Redefinir o processo comercial para reduzir o risco
B. Avaliar controlos alternativos
C. esenvolver um plano para atualizar a tecnologia
D. Definir um processo para monitorizar o risco
Ver resposta
Resposta correta: B
Pergunta #21
Uma interrupção da produtividade da empresa é considerada como um dos seguintes riscos?
A. Trata-se de um acontecimento de risco que só tem um lado negativo e não um resultado positivo
B. É um evento de risco que é criado pela aplicação da resposta ao risco
C. um evento de risco que se gera devido a erros ou omissões no trabalho do projeto
D. É um acontecimento de risco que não pode ser evitado devido à ordem do trabalho
Ver resposta
Resposta correta: B
Pergunta #22
Quais das seguintes são partes da Análise SWOT? Cada resposta correcta representa uma solução completa. (Escolha quatro.)
A. Resultado do relatório
B. Definição de prioridades para os riscos
C. Implementar o controlo
D. Identificação dos controlos
Ver resposta
Resposta correta: ACDE
Pergunta #23
Qual dos seguintes controlos MELHOR diminuiria a exposição se uma palavra-passe fosse comprometida?
A. As palavras-passe têm restrições de formato
B. As palavras-passe são mascaradas
C. s alterações da palavra-passe são obrigatórias
D. As palavras-passe são encriptadas
Ver resposta
Resposta correta: D
Pergunta #24
A FISMA exige que as agências federais protejam os sistemas e dados de TI. Com que frequência deve a conformidade ser auditada por uma organização externa?
A. Anualmente
B. rimestral
C. De três em três anos
D. Nunca
Ver resposta
Resposta correta: A
Pergunta #25
Qual das seguintes opções é o PRIMEIRO passo para gerir o risco de segurança associado à tecnologia vestível no local de trabalho?
A. esenvolver formação de sensibilização para os riscos
B. Monitorizar a utilização pelos funcionários
C. dentificar o risco potencial
D. Avaliar o risco potencial
Ver resposta
Resposta correta: A
Pergunta #26
Uma organização está a considerar modificar o seu sistema para permitir a aceitação de pagamentos com cartão de crédito. Para reduzir o risco de exposição de dados, qual das seguintes acções deve a organização realizar PRIMEIRO?
A. Implementar controlos adicionais
B. Efetuar uma avaliação dos riscos
C. tualizar o registo de riscos
D. tualizar a estratégia de segurança
Ver resposta
Resposta correta: B
Pergunta #27
Qual das seguintes abordagens é a MELHOR para garantir a eficácia da formação em sensibilização para os riscos?
A. Revisão do conteúdo com a direção
B. Utilizar programas de formação de terceiros com boa reputação
C. Cursos-piloto com grupos de discussão
D. Criar módulos para públicos-alvo
Ver resposta
Resposta correta: D
Pergunta #28
Trabalha numa empresa. A sua empresa possui vários riscos. Qual das seguintes entidades tem MAIS probabilidades de deter o risco de um sistema de informação que suporta um processo empresarial crítico?
A. Utilizadores do sistema
B. Quadros superiores
C. Diretor de TI
D. Departamento de gestão de riscos
Ver resposta
Resposta correta: B
Pergunta #29
Qual das seguintes seria a MELHOR linha de ação de um proprietário de uma empresa de TI após um aumento inesperado de alterações de emergência?
A. Realização de uma análise da causa raiz
B. Validação da adequação dos processos actuais
C. Avaliação do impacto nos objectivos de controlo
D. Reconfigurar a infraestrutura de TI
Ver resposta
Resposta correta: A
Pergunta #30
Um profissional de riscos está a organizar uma formação de sensibilização para os riscos para a gestão de topo. Qual dos seguintes é o tópico MAIS importante a ser abordado na sessão de formação?
A. Afetação dos recursos de gestão de riscos pelos quadros superiores
B. Funções e responsabilidades dos quadros superiores
C. Os projectos de gestão estratégica do risco da organização
D. A apetência e a tolerância ao risco da organização
Ver resposta
Resposta correta: B
Pergunta #31
Qual das seguintes é a MELHOR forma de identificar alterações no perfil de risco de uma organização?
A. onitorizar os principais indicadores de risco (KRI)
B. Monitorizar os indicadores-chave de desempenho (KPI)
C. Efetuar uma análise das lacunas
D. Entrevistar o proprietário do risco
Ver resposta
Resposta correta: C
Pergunta #32
Qual dos seguintes softwares de avaliação de vulnerabilidades pode verificar se há senhas fracas na rede?
A. Quebra de palavras-passe
B. Software antivírus
C. Software anti-spyware
D. Wireshark
Ver resposta
Resposta correta: A
Pergunta #33
Qual das seguintes opções é um resultado do processo de avaliação do risco?
A. Identificação do risco
B. Identificação dos controlos adequados
C. Risco atenuado
D. Empresa com risco residual
Ver resposta
Resposta correta: B
Pergunta #34
Quais são os princípios da gestão do risco? Cada resposta correcta representa uma solução completa. Escolha três.
A. Fiabilidade
B. Sustentabilidade
C. Consistência
D. Distinto
Ver resposta
Resposta correta: ABD
Pergunta #35
Um controlo para mitigar o risco numa área de negócio chave não pode ser implementado imediatamente. Qual das seguintes é a MELHOR linha de ação do profissional de riscos quando é necessário aplicar um controlo de compensação?
A. egistar o risco como aceite no registo de riscos
B. Obter a aprovação do proprietário do risco
C. Informar os quadros superiores
D. Atualizar o plano de resposta aos riscos
Ver resposta
Resposta correta: B
Pergunta #36
O João trabalha como gestor de projectos para a BlueWell Inc. Ele está a determinar quais os riscos que podem afetar o projeto. Qual das seguintes entradas do processo de identificação de riscos é útil para identificar os riscos associados às margens de tempo para as actividades ou projectos como um todo, sendo que a amplitude do intervalo indica os graus de risco?
A. Estimativas da duração da atividade
B. Estimativas do custo da atividade
C. Plano de gestão dos riscos
D. Plano de gestão do calendário
Ver resposta
Resposta correta: A
Pergunta #37
Uma organização subcontratou a sua função de gestão da segurança informática a um prestador de serviços externo. A MELHOR parte a possuir os controlos de segurança informática ao abrigo deste acordo é a..:
A. unção de risco da organização
B. função de auditoria do prestador de serviços
C. estão de TI da organização
D. Função de segurança informática do fornecedor de serviços
Ver resposta
Resposta correta: A
Pergunta #38
Você é o gestor de projeto da Bluewell Inc. Está a estudar a documentação do plano do projeto. A documentação indica que existem vinte e cinco partes interessadas no projeto. Qual será o número de canais de comunicação para o projeto?
A. 0
B. 00
C. 0
D. 00
Ver resposta
Resposta correta: D
Pergunta #39
Os controlos devem ser definidos durante a fase de conceção do desenvolvimento do sistema, porque:
A. As especificações técnicas são definidas durante esta fase
B. As técnicas de programação estruturada exigem que os controlos sejam concebidos antes do início da codificação
C. É mais rentável determinar os controlos na fase inicial de conceção
D. As técnicas de análise estruturada excluem a identificação dos controlos
Ver resposta
Resposta correta: B
Pergunta #40
Durante a avaliação do risco de uma organização que processa cartões de crédito, verificou-se que vários controlos existentes são ineficazes e não cumprem as normas do sector. O ambiente de controlo global pode ainda ser eficaz se:
A. Existe um plano de atenuação do controlo
B. risco residual é aceite
C. Existem controlos de compensação
D. A gestão do risco é eficaz
Ver resposta
Resposta correta: A
Pergunta #41
Quando um risco não pode ser suficientemente atenuado através de controlos manuais ou automáticos, qual das seguintes opções protegerá MELHOR a empresa do potencial impacto financeiro do risco?
A. Atualização do registo de riscos informáticos
B. Seguro contra o risco
C. Subcontratação do processo comercial correspondente a um terceiro
D. Melhorar a formação do pessoal no domínio de risco
Ver resposta
Resposta correta: B
Pergunta #42
Qual dos seguintes é o objetivo PRIMÁRIO da revisão periódica do perfil de risco de uma organização?
A. onceber e aplicar planos de ação de resposta aos riscos
B. Alinhar os objectivos empresariais com a apetência pelo risco
C. Permitir a tomada de decisões com base no risco
D. tualizar as respostas aos riscos no registo de riscos
Ver resposta
Resposta correta: C
Pergunta #43
Durante a análise qualitativa do risco, pretende-se definir a avaliação da urgência do risco. Todos os itens seguintes são indicadores da prioridade do risco, exceto qual deles?
A. Sinais de aviso
B. intomas
C. Classificação dos riscos
D. Custo do projeto
Ver resposta
Resposta correta: D
Pergunta #44
Uma interrupção de sistemas foi atribuída a um dispositivo USB pessoal ligado à rede da empresa por um funcionário de TI que contornou os procedimentos de controlo interno. De entre as seguintes pessoas, quem deve ser responsabilizado?
A. Responsável pelo risco (CRO)
B. Gestor da continuidade das actividades (BCM)
C. Gestor de recursos humanos (GRH)
D. Diretor de informação (CIO)
Ver resposta
Resposta correta: D
Pergunta #45
Qual das seguintes opções é a MAIS útil para comunicar o risco à direção?
A. Política de risco
B. Mapa de riscos
C. Modelo de maturidade
D. Relatório de auditoria
Ver resposta
Resposta correta: B
Pergunta #46
O único resultado da análise qualitativa dos riscos são as actualizações do registo de riscos. Quando o gestor de projeto actualiza o registo de riscos, terá de incluir várias informações, incluindo todas as seguintes, exceto qual?
A. Tendências da análise qualitativa dos riscos
B. Matriz probabilidade-impacto do risco
C. iscos agrupados por categorias
D. Lista de vigilância dos riscos de baixa prioridade
Ver resposta
Resposta correta: B
Pergunta #47
Trabalha como gestor de projeto para a BlueWell Inc. O seu projeto consiste em utilizar um novo material para construir um grande armazém na sua cidade. Este novo material é mais barato do que os materiais de construção tradicionais, mas é preciso algum tempo para aprender a utilizar corretamente o material. Comunicou aos intervenientes no projeto que será possível poupar custos com a utilização do novo material, mas precisará de mais algumas semanas para completar a formação sobre a utilização dos materiais. Esta resposta ao risco de aprender a utilizar o novo material
A. Na qualidade do trabalho
B. a facilidade de acesso
C. Na profissão
D. Na independência
Ver resposta
Resposta correta: C
Pergunta #48
Qual das seguintes opções descreve MELHOR o papel do perfil de risco de TI nas decisões estratégicas relacionadas com as TI?
A. Compara os níveis de desempenho dos activos de TI com o valor entregue
B. Fornece informações aos gestores de negócios quando preparam um caso de negócios para novos projectos de TI
C. Facilita o alinhamento dos objectivos estratégicos de TI com os objectivos comerciais
D. Ajuda a avaliar os efeitos das decisões de TI na exposição ao risco
Ver resposta
Resposta correta: B
Pergunta #49
O seu projeto abrange toda a organização. Gostaria de avaliar o risco do seu projeto, mas está preocupado com o facto de alguns dos gestores envolvidos no projeto poderem afetar o resultado de qualquer reunião de identificação de riscos. A sua consideração baseia-se no facto de alguns colaboradores não quererem identificar publicamente eventos de risco que poderiam declarar a sua supervisão como deficiente. Gostaria de utilizar um método que permitisse aos participantes identificar anonimamente os eventos de risco. Que método de identificação de riscos poderia ser utilizado?
A. Técnica Delphi
B. Análise da causa raiz
C. Grupos-piloto isolados
D. Análise SWOT
Ver resposta
Resposta correta: A
Pergunta #50
O número de tickets para retrabalhar o código da aplicação excedeu significativamente o limite estabelecido. Qual das seguintes seria a MELHOR recomendação do profissional de risco?
A. mplementar formação sobre as melhores práticas de codificação
B. Efetuar uma revisão do código
C. Efetuar uma análise da causa principal
D. Implementar software de controlo de versões
Ver resposta
Resposta correta: B
Pergunta #51
Foi eleito gestor de projeto do projeto GHT. Encontra-se na fase de inicialização do projeto e está ocupado a definir os requisitos para o seu projeto. Ao definir os requisitos, está a descrever a forma como os utilizadores irão interagir com um sistema. Qual dos seguintes requisitos está a definir?
A. Níveis organizacionais
B. Componentes de risco
C. Objectivos estratégicos
D. Objectivos de risco
Ver resposta
Resposta correta: C
Pergunta #52
Um departamento de TI organizou sessões de formação para melhorar a sensibilização dos utilizadores para as políticas de segurança da informação da organização. Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para refletir a eficácia da formação?
A. Número de sessões de formação concluídas
B. Percentagem de membros do pessoal que concluem a formação com aproveitamento
C. Percentagem de participantes em relação ao pessoal total
D. Percentagem de membros do pessoal que participam na formação com feedback positivo
Ver resposta
Resposta correta: C
Pergunta #53
Qual é o objetivo PRINCIPAL da conceção de programas de gestão do risco?
A. Reduzir o risco para um nível que a empresa esteja disposta a aceitar
B. Reduzir o risco até ao ponto em que o benefício exceda a despesa
C. Reduzir o risco para um nível demasiado pequeno para ser mensurável
D. Reduzir o risco para uma taxa de rendibilidade igual ao custo atual do capital
Ver resposta
Resposta correta: A
Pergunta #54
Um profissional do risco preencheu o registo do risco com cenários de risco genéricos baseados no sector, que serão avaliados posteriormente pelos proprietários do risco. Qual das seguintes é a MAIOR preocupação com esta abordagem?
A. Os cenários de risco constantes da lista genérica podem não contribuir para a sensibilização para os riscos
B. odem ser avaliados cenários de risco que não sejam relevantes para a organização
C. Será difícil desenvolver cenários de risco complexos utilizando a lista genérica
D. Os cenários de risco relevantes que não constam da lista genérica podem não ser avaliados
Ver resposta
Resposta correta: B
Pergunta #55
A catástrofe natural está MELHOR associada a qual dos seguintes tipos de risco?
A. Controlo contabilístico interno
B. Controlo dos detectives
C. Controlo administrativo
D. Controlo operacional
Ver resposta
Resposta correta: C
Pergunta #56
Na sequência de uma alteração significativa a um processo empresarial, um técnico de risco acredita que o risco associado foi reduzido. O profissional do risco deve aconselhar o proprietário do risco a FIRST:
A. Reafectar os recursos de resposta aos riscos
B. Rever os principais indicadores de risco
C. fetuar uma análise de risco
D. tualizar o registo de riscos
Ver resposta
Resposta correta: C
Pergunta #57
Você é o gestor do projeto NHH. Está a trabalhar com a equipa do projeto para criar um plano que documente os procedimentos de gestão de riscos ao longo do projeto. Este documento definirá como os riscos serão identificados e quantificados. Também definirá como os planos de contingência serão implementados pela equipa do projeto. Que documento é que você e a sua equipa estão a criar neste cenário?
A. Plano do projeto
B. Plano de gestão dos recursos
C. Plano de gestão do projeto
D. Plano de gestão dos riscos
Ver resposta
Resposta correta: D
Pergunta #58
Qual das seguintes opções é o MELHOR método para garantir que o acesso de um funcionário que terminou o seu contrato de trabalho aos sistemas de TI é revogado após a sua saída da organização?
A. As tentativas de início de sessão são reconciliadas com uma lista de empregados despedidos
B. É implementado um processo para eliminar o acesso dos empregados durante a entrevista de saída
C. O sistema de recursos humanos (RH) revoga automaticamente o acesso ao sistema
D. É gerada uma lista de trabalhadores despedidos para reconciliação com o atual acesso informático
Ver resposta
Resposta correta: D
Pergunta #59
Qual das seguintes opções é o MELHOR indicador da eficácia dos processos de gestão dos riscos informáticos?
A. Tempo decorrido entre a identificação dos cenários de risco informático e a resposta da empresa
B. Percentagem de utilizadores profissionais que concluem a formação em matéria de riscos
C. ercentagem de cenários de alto risco para os quais foram desenvolvidos planos de ação de risco
D. úmero de indicadores-chave de risco (KRIs) definidos
Ver resposta
Resposta correta: C
Pergunta #60
Qual das seguintes abordagens seria a MELHOR para ajudar a identificar cenários de risco relevantes?
A. Envolver a direção em workshops de avaliação de riscos
B. Encaminhar a situação para a direção de risco
C. Envolver a auditoria interna em seminários de avaliação dos riscos
D. Rever a documentação do sistema e do processo
Ver resposta
Resposta correta: A
Pergunta #61
O João trabalha como gestor de projectos para a BlueWell Inc. Ele está a determinar quais os riscos que podem afetar o projeto. Qual das seguintes entradas do processo de identificação de riscos é útil para identificar os riscos associados às margens de tempo para as actividades ou projectos como um todo, sendo que a amplitude do intervalo indica os graus de risco?
A. Estimativas da duração da atividade
B. Estimativas do custo da atividade
C. Plano de gestão dos riscos
D. Plano de gestão do calendário
Ver resposta
Resposta correta: A
Pergunta #62
Todas as unidades de negócio de uma organização têm o mesmo plano de resposta a riscos para criar planos locais de recuperação de desastres. Num esforço para obter uma boa relação custo-eficácia, a MELHOR linha de ação seria..:
A. ubcontratar a recuperação de desastres a um fornecedor externo
B. elecionar um fornecedor para normalizar os planos de recuperação de desastres
C. valiar as oportunidades de combinar planos de recuperação de desastres
D. entralizar a função de resposta ao risco a nível da empresa
Ver resposta
Resposta correta: C
Pergunta #63
Durante os testes, um profissional de risco descobre que o objetivo de tempo de recuperação (RTO) do departamento de TI para um sistema chave não está alinhado com o plano de continuidade do negócio (BCP) da empresa. Qual das seguintes acções deve ser executada em seguida?
A. Preencher um formulário de exceção de risco
B. Comunicar a lacuna aos quadros superiores
C. Consultar o proprietário da empresa para atualizar o PCN
D. Consultar o departamento de TI para atualizar a RTO
Ver resposta
Resposta correta: B
Pergunta #64
Uma auditoria às licenças de TI revelou que existem várias cópias não licenciadas de aplicações comerciais instaladas nos computadores portáteis da empresa. O melhor curso de ação do profissional de risco seria
A. esinstalar imediatamente o software não licenciado dos computadores portáteis
B. dquirir as licenças necessárias para o software, a fim de minimizar o impacto na atividade
C. omunicar o problema à direção para que sejam tomadas as medidas adequadas
D. entralizar os direitos de administração nos computadores portáteis para que as instalações sejam controladas
Ver resposta
Resposta correta: D
Pergunta #65
Foi recentemente implementada uma ferramenta de prevenção de perda de dados (DLP) baseada em regras para reduzir o risco de fuga de dados sensíveis. Qual das seguintes opções é a MAIS provável de mudar como resultado desta implementação?
A. Velocidade do risco
B. Impacto do risco
C. Probabilidade de risco
D. Apetite pelo risco
Ver resposta
Resposta correta: B
Pergunta #66
Qual das seguintes opções MELHOR permite que o perfil de risco sirva como um recurso eficaz para apoiar os objectivos empresariais?
A. Atualizar o perfil de risco com os resultados da avaliação de risco
B. Atribuição de valores quantitativos a métricas qualitativas no registo de riscos
C. Contratação de profissionais de risco externos para analisar periodicamente o risco
D. Dar prioridade às normas globais em detrimento dos requisitos locais no perfil de risco
Ver resposta
Resposta correta: B
Pergunta #67
Qual das seguintes situações exigiria actualizações ao registo de riscos de TI de uma organização?
A. Descoberta de um controlo informático fundamental concebido de forma ineficaz
B. Análise da gestão dos indicadores-chave de risco (KRI)
C. Alterações na equipa responsável pela manutenção do registo
D. Conclusão da última auditoria interna
Ver resposta
Resposta correta: A
Pergunta #68
Qual das alternativas a seguir é verdadeira para Expectativa de perda única (SLE), Taxa anual de ocorrência (ARO) e Expectativa de perda anual (ALE)?
A. LE= ARO/SLE
B. RO= SLE/ALE
C. RO= ALE*SLE
D. LE= ARO*SLE
Ver resposta
Resposta correta: D
Pergunta #69
Qual dos seguintes é um benefício PRIMÁRIO de envolver o proprietário do risco durante o processo de avaliação do risco?
A. Medição exacta do impacto das perdas
B. Deteção precoce de ameaças emergentes
C. Identificação de lacunas nos controlos que possam conduzir a incumprimentos
D. Priorização dos planos de ação de risco em todos os departamentos
Ver resposta
Resposta correta: A
Pergunta #70
Qual das seguintes opções seria MAIS útil para estimar a probabilidade de acontecimentos negativos?
A. Análise do impacto nas empresas
B. Análise custo-benefício
C. Análise da resposta aos riscos
D. Análise de ameaças
Ver resposta
Resposta correta: D
Pergunta #71
Você é o gestor de projeto do projeto GHT. Está a efetuar uma análise de custos e benefícios do controlo. Depara-se com o resultado de que os custos de controlos específicos excedem os benefícios da mitigação de um determinado risco. Qual é a MELHOR ação que escolheria neste cenário?
A. A empresa pode aplicar o controlo adequado de qualquer forma
B. A empresa deve adotar um controlo corretivo
C. A empresa pode optar por aceitar o risco em vez de incorrer no custo da mitigação
D. A empresa deve explorar o risco
Ver resposta
Resposta correta: C
Pergunta #72
Qual dos seguintes é o MAIOR benefício da análise de registos recolhidos de diferentes sistemas?
A. As ameaças em desenvolvimento são detectadas mais cedo
B. As investigações forenses são facilitadas
C. As violações de segurança podem ser identificadas
D. É mantido um registo dos incidentes
Ver resposta
Resposta correta: D
Pergunta #73
Os riscos com classificações baixas de probabilidade e impacto são incluídos para monitorização futura em qual das seguintes categorias?
A. Alarme de risco
B. Lista de observações
C. Lista de observação
D. Registo de riscos
Ver resposta
Resposta correta: C
Pergunta #74
Você é o gestor de projeto do projeto GHT. Identificou um evento de risco no seu projeto que, se ocorrer, pode poupar $100.000 em custos de projeto. Qual das seguintes afirmações descreve MELHOR este evento de risco?
A. Este evento de risco deve ser atenuado para tirar partido das poupanças
B. Trata-se de um evento de risco que deve ser aceite porque as recompensas superam a ameaça ao projeto
C. Este evento de risco deve ser evitado para tirar o máximo partido das potenciais poupanças
D. Este evento de risco é uma oportunidade para o projeto e deve ser explorado
Ver resposta
Resposta correta: D
Pergunta #75
Uma avaliação de riscos identificou que os departamentos instalaram os seus próprios pontos de acesso WiFi na rede da empresa. Qual das seguintes opções seria a MAIS importante a incluir num relatório para a direção?
A. Acções de correção planeadas
B. A política de segurança da rede
C. A configuração do ponto de acesso WiFi
D. Potencial impacto comercial
Ver resposta
Resposta correta: D
Pergunta #76
Trabalha como gestor de projeto na BlueWell Inc. A administração pediu-lhe que trabalhasse com o principal interveniente no projeto para analisar os eventos de risco que identificou no projeto. A gerência gostaria que você analisasse os riscos do projeto com o objetivo de melhorar o desempenho do projeto como um todo. Que abordagem pode utilizar para atingir este objetivo de melhorar o desempenho do projeto através da análise de riscos com as partes interessadas do projeto?
A. s riscos do projeto são incertos quanto ao momento em que irão ocorrer
B. Os riscos podem ocorrer em qualquer momento do projeto
C. Os riscos do projeto estão sempre no futuro
D. Os factores de risco são sinais de aviso de quando os riscos irão ocorrer
Ver resposta
Resposta correta: D
Pergunta #77
Qual das seguintes opções é a MAIS eficaz contra ameaças externas às informações confidenciais de uma organização?
A. Início de sessão único
B. Autenticação forte
C. Controlo da integridade dos dados
D. Sistema de deteção de intrusões
Ver resposta
Resposta correta: D
Pergunta #78
Quem é a autoridade BEST para desenvolver as prioridades e identificar os riscos e impactos que ocorreriam se houvesse perda de informações privadas da organização?
A. Agências reguladoras externas
B. Auditor interno
C. Proprietários de processos empresariais
D. Gestão da segurança
Ver resposta
Resposta correta: D
Pergunta #79
Qual das seguintes é a razão MAIS importante para manter indicadores-chave de risco (KRIs)?
A. Para evitar riscos
B. s métricas complexas requerem um ajuste fino
C. Os relatórios de risco devem ser apresentados atempadamente
D. As ameaças e vulnerabilidades mudam com o tempo
Ver resposta
Resposta correta: D
Pergunta #80
A análise de qual das seguintes opções MELHOR ajudará a validar se a atividade de rede suspeita é maliciosa?
A. Regras do sistema de deteção de intrusões (IDS)
B. Relatórios de testes de penetração
C. Relatórios de avaliação de vulnerabilidades
D. Registos e eventos do sistema
Ver resposta
Resposta correta: D
Pergunta #81
Qual das seguintes afirmações NÃO é verdadeira relativamente ao plano de gestão de riscos?
A. plano de gestão de riscos é um resultado do processo de Gestão de Riscos do Plano
B. O plano de gestão do risco é um contributo para todos os restantes processos de planeamento do risco
C. plano de gestão de riscos inclui uma descrição das respostas e dos factores de desencadeamento dos riscos
D. O plano de gestão de riscos inclui limiares, métodos de pontuação e interpretação, partes responsáveis e orçamentos
Ver resposta
Resposta correta: C
Pergunta #82
O João é o gestor de projeto do projeto HGH da empresa dela. Ele e a sua equipa de projeto concordaram que, se o fornecedor se atrasar mais de dez dias, cancelarão a encomenda e contratarão a empresa NBG para a satisfazer. A empresa NBG pode garantir encomendas no prazo de três dias, mas os custos dos seus produtos são significativamente mais caros do que os do fornecedor atual. Que tipo de resposta adopta João neste caso?
A. Estratégia de resposta contingente
B. Prevenção de riscos
C. Atenuação dos riscos
D. Parecer de peritos
Ver resposta
Resposta correta: A
Pergunta #83
Após a implementação de dispositivos da Internet das Coisas (IoT), foram identificados novos cenários de risco. Qual é a principal razão para comunicar estas informações aos proprietários do risco?
A. Reavaliar a utilização contínua de dispositivos IoT
B. Recomendar alterações à política de IoT
C. onfirmar o impacto no perfil de risco
D. Adicionar novos controlos para mitigar o risco
Ver resposta
Resposta correta: D
Pergunta #84
Quando o plano de recuperação de desastres de uma organização tem um acordo recíproco, qual das seguintes opções de tratamento de riscos está a ser aplicada?
A. Transferência
B. Evitar
C. Aceitação
D. Mitigação
Ver resposta
Resposta correta: D
Pergunta #85
Uma unidade de negócios decidiu aceitar o risco de implementar um pacote de software comercial pronto a usar que utiliza controlos de palavra-passe fracos. O MELHOR curso de ação seria:
A. bter a aprovação da direção para a exceção à política
B. Continuar a aplicação sem alterações
C. esenvolver uma rotina de software de palavra-passe melhorada
D. elecionar outra aplicação com controlos de palavra-passe fortes
Ver resposta
Resposta correta: C
Pergunta #86
Você é o gestor de projeto do seu projeto. Tem de analisar vários riscos do projeto. Optou por uma análise quantitativa em vez de uma análise qualitativa dos riscos. Qual é a desvantagem MAIS significativa da utilização da análise quantitativa em vez da análise qualitativa dos riscos?
A. enor objetividade
B. usto mais elevado
C. Maior dependência de pessoal qualificado
D. enor adesão da gestão
Ver resposta
Resposta correta: B
Pergunta #87
Qual dos seguintes é o fator MAIS importante que afecta a gestão do risco numa organização?
A. As competências do gestor de riscos
B. Requisitos regulamentares
C. Competências do conselho de administração
D. A cultura da organização
Ver resposta
Resposta correta: D
Pergunta #88
Uma das principais vantagens de envolver a gestão empresarial na avaliação e gestão do risco é que a gestão:
A. odem tomar decisões comerciais mais informadas
B. ompreender melhor a arquitetura do sistema
C. ode equilibrar os riscos técnicos e comerciais
D. mais objetiva do que a gestão do risco
Ver resposta
Resposta correta: A
Pergunta #89
O foco PRIMÁRIO de um profissional de risco ao validar um plano de ação de resposta ao risco deve ser essa resposta ao risco:
A. vança os objectivos comerciais
B. Quantifica o impacto do risco
C. eduz o risco para um nível aceitável
D. Alinha-se com a estratégia empresarial
Ver resposta
Resposta correta: D
Pergunta #90
Para reduzir o risco introduzido ao realizar testes de penetração, o MELHOR controlo atenuante seria
A. efinir claramente o âmbito do projeto
B. fetuar controlos dos antecedentes do vendedor
C. otificar os administradores de rede antes do teste
D. Exigir que o fornecedor assine um acordo de confidencialidade
Ver resposta
Resposta correta: A
Pergunta #91
Qual das seguintes opções é um controlo de deteção?
A. Controlo dos limites
B. Software de controlo de acesso
C. Revisão periódica do acesso
D. Procedimentos de repetição
Ver resposta
Resposta correta: D
Pergunta #92
Qual das seguintes opções NÃO é o método de análise qualitativa dos riscos?
A. Quadros de pontuação
B. Análise de atributos
C. Matriz de impacto de verosimilhança
D. Modelação e simulação de processos empresariais (BPM)
Ver resposta
Resposta correta: D
Pergunta #93
O risco associado a uma vulnerabilidade de alto risco numa aplicação é da responsabilidade do utilizador:
A. epartamento de segurança
B. endedor
C. nidade de negócio
D. Departamento de TI
Ver resposta
Resposta correta: C
Pergunta #94
Qual das seguintes opções apresentaria o MAIOR desafio ao atribuir a responsabilidade pela propriedade de controlo?
A. Relações de subordinação pouco claras
B. Estruturas de governação fracas
C. Controlo pelos quadros superiores
D. Ambiente regulamentar complexo
Ver resposta
Resposta correta: A
Pergunta #95
Você é o gestor de projeto do projeto GHT. O seu projeto utiliza uma máquina para a produção de bens. Esta máquina tem a especificação de que, se a sua temperatura subir acima dos 450 graus Fahrenheit, pode provocar a queima dos enrolamentos. Por isso, existe um alarme que dispara quando a temperatura da máquina atinge os 430 graus Fahrenheit e a máquina é desligada durante 1 hora. Qual é o papel do alarme neste caso?
A. Do indicador de risco
B. a identificação dos riscos
C. De acionamento do risco
D. De resposta ao risco
Ver resposta
Resposta correta: A
Pergunta #96
Quais são as funções da auditoria e do controlo da responsabilidade? Cada resposta correcta representa uma solução completa. (Escolha três.)
A. O nível de risco aumenta acima da apetência pelo risco
B. Aumento do nível de risco acima da tolerância ao risco
C. O nível de risco equivale à apetência pelo risco
D. O nível de risco equivale à tolerância ao risco
Ver resposta
Resposta correta: ACD
Pergunta #97
Uma organização mantém registos de risco departamentais independentes que não são automaticamente agregados. Qual das seguintes opções constitui a MAIOR preocupação?
A. Os recursos podem ser afectados de forma ineficaz
B. A direção pode não ser capaz de avaliar com exatidão o perfil de risco
C. Podem ser iniciados múltiplos esforços de tratamento do risco para tratar um determinado risco
D. O mesmo fator de risco pode ser identificado em várias áreas
Ver resposta
Resposta correta: B
Pergunta #98
Qual dos seguintes é o risco MAIS ELEVADO de uma política que define inadequadamente a propriedade dos dados e do sistema?
A. Não existe coordenação da gestão dos utilizadores
B. As recomendações de auditoria podem não ser implementadas
C. Os utilizadores podem ter acesso não autorizado para originar, modificar ou apagar dados
D. Não é possível estabelecer a responsabilidade específica do utilizador
Ver resposta
Resposta correta: C
Pergunta #99
Qual dos seguintes controlos detectará MELHOR a modificação não autorizada de dados por um administrador de base de dados?
A. Revisão dos direitos de acesso à base de dados
B. Revisão das alterações aos controlos de edição
C. Comparação de dados com registos de entrada
D. Revisão dos registos de atividade da base de dados
Ver resposta
Resposta correta: C
Pergunta #100
Onde estão documentados todos os riscos e respostas aos riscos à medida que o projeto avança?
A. Plano de gestão dos riscos
B. Plano de gestão do projeto
C. Plano de resposta aos riscos
D. Registo de riscos
Ver resposta
Resposta correta: D
Pergunta #101
Como se pode determinar o risco residual?
A. Determinando as vulnerabilidades remanescentes após a aplicação das contramedidas
B. Transferindo todos os riscos
C. Por análise de ameaças
D. Por avaliação de risco
Ver resposta
Resposta correta: D
Pergunta #102
Você é o gestor de projeto da sua empresa. Introduziu um sistema de deteção de intrusões para o controlo. Identificou um aviso de violação das políticas de segurança da sua empresa. Que tipo de controlo é um sistema de deteção de intrusões (IDS)?
A. Detetive
B. Correctiva
C. Preventivo
D. Recuperação
Ver resposta
Resposta correta: A
Pergunta #103
É o responsável pelo risco na Techmart Inc. É-lhe pedido que efectue uma avaliação do risco sobre o impacto da perda de conetividade de uma rede durante 1 dia. Qual dos seguintes factores deve incluir?
A. Compensação agregada de todos os utilizadores profissionais afectados
B. Taxa de faturação horária cobrada pela transportadora
C. Valor que as empresas obtêm com a transferência de dados através da rede
D. Perdas financeiras incorridas pelas unidades de negócio afectadas
Ver resposta
Resposta correta: D
Pergunta #104
Qual das seguintes é a razão MAIS importante para manter indicadores-chave de risco (KRIs)?
A. Para evitar riscos
B. s métricas complexas requerem um ajuste fino
C. Os relatórios de risco devem ser apresentados atempadamente
D. As ameaças e vulnerabilidades mudam com o tempo
Ver resposta
Resposta correta: D
Pergunta #105
Qual das seguintes opções seria a MAIS útil para medir o progresso de um plano de ação de resposta ao risco?
A. Despesas de recursos em relação ao orçamento
B. Um registo de riscos atualizado
C. Percentagem de cenários de risco atenuados
D. Alterações na expetativa de perda anual (ALE)
Ver resposta
Resposta correta: C
Pergunta #106
O principal objetivo de ter um perfil de risco documentado é
A. ermitir a tomada de decisões bem informadas
B. umprir os requisitos externos e internos
C. anter atualizado o registo de riscos
D. ar prioridade aos projectos de investimento
Ver resposta
Resposta correta: A
Pergunta #107
Ao desenvolver um novo registo de riscos, um técnico de riscos deve centrar-se em qual das seguintes actividades de gestão de riscos?
A. Planeamento da resposta aos riscos
B. Identificação dos riscos
C. companhamento e controlo dos riscos
D. Planeamento da estratégia de gestão de riscos
Ver resposta
Resposta correta: C
Pergunta #108
É o gestor de projeto da Bluewell Inc. O seu projeto tem vários riscos que irão afetar os requisitos de várias partes interessadas. Que plano de gestão do projeto definirá quem estará disponível para partilhar informações sobre os riscos do projeto?
A. Plano de gestão dos recursos
B. Plano de gestão dos riscos
C. Estratégia de gestão das partes interessadas
D. Plano de gestão das comunicações
Ver resposta
Resposta correta: D
Pergunta #109
Qual das seguintes alterações se reflectiria no perfil de risco de uma organização após a falha de uma implementação de um patch crítico?
A. O risco inerente é aumentado
B. A tolerância ao risco é reduzida
C. A apetência pelo risco é reduzida
D. O risco residual é aumentado
Ver resposta
Resposta correta: D
Pergunta #110
Ao avaliar a gestão de riscos de TI da empresa, é MAIS importante
A. riar novos processos de controlo para reduzir os cenários de risco informático identificados
B. ever o alinhamento com o plano de investimento da organização
C. Comunicar à direção os cenários de risco informático identificados
D. onfirmar a apetência e a tolerância ao risco da organização
Ver resposta
Resposta correta: B
Pergunta #111
Você trabalha como Gestor de Projectos para a Empresa Inc. Está a incorporar um proprietário de resposta ao risco para assumir a tarefa de cada resposta ao risco acordada e financiada. Em qual dos seguintes processos está a trabalhar?
A. Análise quantitativa dos riscos
B. dentificar os riscos
C. lanear a resposta ao risco
D. Análise de risco qualitativa
Ver resposta
Resposta correta: C
Pergunta #112
Qual dos seguintes elementos serve de autorização para o início de um projeto?
A. Aprovação do plano de gestão do projeto
B. Aprovação de um documento de resposta ao risco
C. provação do documento de gestão do risco
D. Aprovação de um documento de pedido de projeto
Ver resposta
Resposta correta: D
Pergunta #113
É o gestor de projeto do projeto NHQ na Bluewell Inc. O projeto tem um ativo avaliado em $200.000 e está sujeito a um fator de exposição de 45%. Se a taxa anual de ocorrência de perdas neste projeto for de uma vez por mês, então qual será a Expectativa Anual de Perdas (EPA) do projeto?
A. 2,160,000
B. 95,000
C. 108,000
D. 90,000
Ver resposta
Resposta correta: C
Pergunta #114
Qual das seguintes opções MELHOR ajudaria uma empresa a dar prioridade aos cenários de risco?
A. Melhores práticas do sector
B. Grau de variação do risco
C. Custo da atenuação dos riscos
D. Colocação no mapa de risco
Ver resposta
Resposta correta: D
Pergunta #115
Qual das seguintes opções deve ser a MAIS preocupante para um profissional de risco que analisa os resultados de uma auditoria recente do centro de dados de uma organização?
A. A propriedade de uma constatação de auditoria não foi atribuída
B. O centro de dados não é totalmente redundante
C. As conclusões da auditoria não foram comunicadas aos quadros superiores
D. Os principais indicadores de risco (KRIs) para o centro de dados não incluem componentes críticos
Ver resposta
Resposta correta: C
Pergunta #116
As partes interessadas das TI solicitaram a um especialista em riscos relatórios de perfil de risco de TI associados a departamentos específicos para afetar recursos à mitigação de riscos. A MELHOR maneira de atender a esse pedido seria usar:
A. Avaliações de risco históricas
B. ndicadores-chave de risco (KRIs)
C. O custo associado a cada controlo
D. informações do registo de riscos
Ver resposta
Resposta correta: A
Pergunta #117
As tabelas de mortalidade são baseadas em que atividade matemática? Cada resposta correcta representa uma solução completa. Escolha três.
A. Transferência
B. Mitigação
C. Aceitação
D. Evitar
Ver resposta
Resposta correta: ABD
Pergunta #118
O Jane é o gestor de projeto do projeto NHJ da sua empresa. Identificou vários eventos de risco positivos no seu projeto e pensa que estes eventos podem poupar tempo e dinheiro ao projeto. Os eventos de risco positivos, tais como estes no âmbito do projeto NHJ, são designados por?
A. Riscos de contingência
B. Benefícios
C. Risco residual
D. Oportunidades
Ver resposta
Resposta correta: D
Pergunta #119
Qual das seguintes opções forneceria à direção executiva as MELHORES informações para tomar decisões sobre riscos em resultado de uma avaliação de riscos?
A. Uma apresentação quantitativa dos resultados da avaliação dos riscos
B. ma apresentação qualitativa dos resultados da avaliação dos riscos
C. Uma comparação dos resultados da avaliação do risco com o estado desejado
D. Uma avaliação dos níveis de maturidade e preparação da organização
Ver resposta
Resposta correta: A
Pergunta #120
Qual das seguintes opções é a MAIS adequada para evitar a recuperação não autorizada de informações confidenciais armazenadas num sistema de aplicações empresariais?
A. mplementar a separação de funções
B. Aplicar uma política interna de acesso aos dados
C. Impor a utilização de assinaturas digitais
D. plicar o início de sessão único para controlo de acesso
Ver resposta
Resposta correta: D
Pergunta #121
Quais das seguintes opções são factores de risco externos? Cada resposta correcta representa uma solução completa. Escolha três.
A. Explorar
B. vitar
C. Mitigar
D. Transferência
Ver resposta
Resposta correta: AD
Pergunta #122
Você é o gestor de projeto do projeto GHT. Iniciou o projeto e realizou o estudo de viabilidade. Que resultado obteria após a realização do estudo de viabilidade? Cada resposta correcta representa uma solução completa. (Escolha duas.)
A. Identificação das partes interessadas
B. Processo de seleção do fornecedor
C. Base de qualidade
D. Plano de melhoria do processo
Ver resposta
Resposta correta: AD
Pergunta #123
Trabalha como gestor de projectos na BlueWell Inc. Está envolvido com a equipa de projeto nas diferentes questões de risco do seu projeto. Está a utilizar as aplicações do modelo IRGC para facilitar a compreensão e a gestão do aumento dos riscos globais que têm impacto na economia e na sociedade. Um dos membros da sua equipa quer saber qual é a necessidade de utilizar o IRGC. Qual será a sua resposta?
A. Requisitos técnicos
B. Requisitos do projeto
C. Requisitos funcionais
D. Requisito comercial
Ver resposta
Resposta correta: A
Pergunta #124
Que actividades devem ser realizadas para que as revisões pós-implementação sejam eficazes durante o projeto?
A. stabelecer as medidas de negócio desde o início
B. Permitir a execução de um número suficiente de ciclos económicos no novo sistema
C. dentificar as informações recolhidas durante cada fase do projeto
D. dentificar a informação a ser revista
Ver resposta
Resposta correta: A
Pergunta #125
A Maria é gestora de projectos na sua organização. No seu projeto atual, está a trabalhar com a sua equipa de projeto e outros intervenientes-chave para identificar os riscos do projeto. O seu objetivo é criar uma lista exaustiva dos riscos do projeto, pelo que está a recorrer a um facilitador para ajudar a gerar ideias sobre os riscos do projeto. Qual é o método de identificação de riscos que a Maria está provavelmente a utilizar?
A. Técnicas Delphi
B. Parecer de peritos
C. Brainstorming
D. Análise da lista de controlo
Ver resposta
Resposta correta: C
Pergunta #126
Trabalha como gestor de projectos para a BlueWell Inc. Está prestes a concluir o processo de análise de risco quantitativo para o seu projeto. Pode utilizar três ferramentas e técnicas disponíveis para concluir este processo. Qual das seguintes opções NÃO é uma ferramenta ou técnica apropriada para o processo de análise quantitativa de riscos?
A. Técnicas de recolha e representação de dados
B. Parecer de peritos
C. Análise quantitativa dos riscos e técnicas de modelização
D. Activos de processos organizacionais
Ver resposta
Resposta correta: D
Pergunta #127
Quem é mais adequado para determinar se um novo controlo reduz adequadamente o risco de perda de dados num sistema?
A. Proprietário do controlo
B. Proprietário do risco
C. Proprietário dos dados
D. Proprietário do sistema
Ver resposta
Resposta correta: D
Pergunta #128
É o responsável pelo risco na Bluewell Inc. Detectou muitas vulnerabilidades durante o processo de avaliação de riscos. O que deve fazer a seguir?
A. ar prioridade às vulnerabilidades para correção apenas com base no impacto
B. ratar as vulnerabilidades como um risco, mesmo que não exista uma ameaça
C. Analisar a eficácia do controlo com base nas vulnerabilidades
D. Avaliar as vulnerabilidades quanto à ameaça, ao impacto e ao custo da atenuação
Ver resposta
Resposta correta: D
Pergunta #129
Você é o gestor de projeto do projeto GHT. O seu fornecedor de hardware deixou-lhe uma mensagem de voz a dizer que a entrega do equipamento que encomendou não chegaria a tempo. Identificou uma estratégia de resposta ao risco para este risco e conseguiu que uma empresa local lhe alugasse o equipamento necessário até o seu chegar. Este é um exemplo de qual estratégia de resposta a riscos?
A. Evitar
B. ransferência
C. Aceitação
D. Mitigar
Ver resposta
Resposta correta: D
Pergunta #130
Qual dos seguintes processos é descrito na afirmação abaixo? "É o processo de troca de informações e pontos de vista sobre riscos entre as partes interessadas, tais como grupos, indivíduos e instituições."
A. Governação do risco
B. IRGC
C. Planeamento da resposta aos riscos
D. Comunicação dos riscos
Ver resposta
Resposta correta: D
Pergunta #131
Qual das seguintes auditorias de controlo é realizada para avaliar a eficiência da produtividade no ambiente operacional?
A. A gestão dos riscos do projeto foi concluída com o planeamento do projeto
B. A gestão dos riscos do projeto ocorre em cada etapa
C. gestão dos riscos do projeto está prevista para todos os meses do projeto de 18 meses
D. Em todas as reuniões de estado da equipa do projeto, a gestão dos riscos do projeto é um ponto da ordem de trabalhos
Ver resposta
Resposta correta: C
Pergunta #132
A proteção contra código malicioso é um controlo de que tipo?
A. Controlo da gestão da configuração
B. Controlo da integridade do sistema e da informação
C. Controlo da proteção dos meios de comunicação
D. Controlo da segurança pessoal
Ver resposta
Resposta correta: B
Pergunta #133
Que resposta negativa ao risco tem normalmente um acordo contratual?
A. Partilha
B. Transferência
C. Mitigação
D. Explorar
Ver resposta
Resposta correta: B
Pergunta #134
Os procedimentos de atenuação dos riscos devem incluir
A. omprar uma apólice de seguro
B. ceitação dos riscos
C. Aplicação de contramedidas
D. mplementação da arquitetura empresarial
Ver resposta
Resposta correta: C
Pergunta #135
Você é o gestor de projeto do projeto GHT. Identificou um risco de não conformidade com os regulamentos devido à falta de uma série de procedimentos relativamente simples. A resposta requer a criação dos procedimentos em falta e a sua implementação. Em qual das seguintes categorias de priorização de resposta a riscos este caso deve ser classificado?
A. Caso de negócio a apresentar
B. anho rápido
C. Prevenção de riscos
D. Diferimentos
Ver resposta
Resposta correta: B
Pergunta #136
Qual das seguintes opções é a MELHOR para apoiar a elaboração de relatórios de gestão sobre o risco?
A. m registo de riscos
B. Indicadores-chave de desempenho
C. utoavaliação do controlo
D. Requisitos da política de risco
Ver resposta
Resposta correta: B
Pergunta #137
Quais são os requisitos da monitorização do risco? Cada resposta correcta representa uma parte da solução. Escolha três.
A. Transferência de riscos
B. Aceitação dos riscos
C. Prevenção de riscos
D. Atenuação dos riscos
Ver resposta
Resposta correta: BCD
Pergunta #138
Um profissional de risco observa que os incidentes de falha de hardware têm vindo a aumentar nos últimos meses. No entanto, devido à redundância incorporada e à arquitetura tolerante a falhas, não se verificaram interrupções nas operações comerciais. O profissional de risco deve concluir que:
A. Não é necessária qualquer ação, uma vez que não houve impacto
B. É necessária uma análise da causa raiz
C. hardware precisa de ser atualizado
D. s controlos são eficazes para assegurar a continuidade
Ver resposta
Resposta correta: D
Pergunta #139
Uma organização contratou recentemente um grande número de funcionários a tempo parcial. Durante a auditoria anual, descobriu-se que muitos IDs de utilizador e palavras-passe estavam documentados em manuais de procedimentos para serem utilizados pelos empregados a tempo parcial. Esta situação seria considerada:
A. m risco
B. m incidente
C. ma ameaça
D. ma vulnerabilidade
Ver resposta
Resposta correta: D
Pergunta #140
Qual das seguintes actividades MELHOR contribuiria para promover uma cultura de consciencialização dos riscos em toda a organização?
A. omunicar as componentes do risco e os seus níveis aceitáveis
B. Efetuar uma análise de referência e avaliar as lacunas
C. Participar em revisões pelos pares e implementar as melhores práticas
D. Realização de avaliações de risco e implementação de controlos
Ver resposta
Resposta correta: D
Pergunta #141
Qual dos seguintes processos é descrito na afirmação abaixo? "É o processo de implementação de planos de resposta ao risco, acompanhamento dos riscos identificados, monitorização do risco residual, identificação de novos riscos e avaliação da eficácia do processo de risco ao longo do projeto."
A. Efetuar uma análise quantitativa dos riscos
B. onitorizar e controlar os riscos
C. dentificar os riscos
D. Efetuar uma análise qualitativa dos riscos
Ver resposta
Resposta correta: B
Pergunta #142
Quais das seguintes opções se enquadram nas fases de identificação e avaliação de riscos? Cada resposta correcta representa uma solução completa. Escolha três.
A. Nó final
B. Nó raiz
C. Nó de evento
D. Nó de decisão
Ver resposta
Resposta correta: ABC
Pergunta #143
Suponha que está a trabalhar na Empresa Inc. e que está a utilizar cenários de risco para estimar a probabilidade e o impacto dos riscos significativos nesta organização. Qual das seguintes avaliações está a fazer?
A. Avaliação da segurança informática
B. Auditoria informática
C. Avaliação de ameaças e vulnerabilidades
D. Avaliação dos riscos
Ver resposta
Resposta correta: C
Pergunta #144
Qual das seguintes opções NÃO é uma informação indireta?
A. Informação sobre a correção do ponto de corte
B. Relatórios que mostram as encomendas que foram rejeitadas por limitações de crédito
C. Relatórios que fornecem informações sobre quaisquer desvios invulgares e margens de produtos individuais
D. A ausência de diferenças significativas entre os níveis perpétuos e os níveis efectivos das mercadorias
Ver resposta
Resposta correta: A
Pergunta #145
A gestão de topo pediu a um especialista em riscos que desenvolvesse cenários de risco técnico relacionados com um sistema de planeamento de recursos empresariais (ERP) recentemente desenvolvido. Estes cenários serão propriedade do gestor do sistema. Qual dos seguintes seria o MELHOR método a utilizar no desenvolvimento dos cenários?
A. Abordagem ascendente
B. Diagrama de causa e efeito
C. Abordagem descendente
D. Técnica Delphi
Ver resposta
Resposta correta: D
Pergunta #146
Qual dos seguintes controlos é um exemplo de controlo não técnico?
A. Controlo de acesso
B. Segurança física
C. Sistema de deteção de intrusões
D. Encriptação
Ver resposta
Resposta correta: B
Pergunta #147
Um profissional de risco está a desenvolver um conjunto de cenários de risco informático ascendentes. O momento MAIS importante para envolver as partes interessadas do negócio é quando:
A. Identificação dos controlos de atenuação dos riscos
B. Documentar os cenários de risco
C. Validação dos cenários de risco
D. Atualizar o registo dos riscos
Ver resposta
Resposta correta: C
Pergunta #148
Você é o gestor de projeto do projeto GHT. Uma parte interessada deste projeto solicitou um pedido de alteração neste projeto. Quais são as suas responsabilidades como gestor de projeto que deve fazer para aprovar este pedido de alteração? Cada resposta correcta representa uma solução completa. Escolha duas.
A. Curto prazo
B. Longo prazo
C. escontínuo
D. Grande impacto
Ver resposta
Resposta correta: AC
Pergunta #149
Qual das seguintes é a MELHOR razão para definir uma resposta ao risco?
A. Eliminar o risco da empresa
B. Assegurar que o risco residual se encontra dentro dos limites da apetência e da tolerância ao risco
C. Visão geral do estado atual do risco
D. Para atenuar o risco
Ver resposta
Resposta correta: B
Pergunta #150
Você é o gestor de programas da sua organização e está a trabalhar com a Alice, uma gestora de projectos no seu programa. A Alice telefona-lhe e insiste para que adicione uma alteração ao âmbito do programa. Concorda com essa alteração. O que é que a Alice tem de fazer para avançar com o seu pedido de alteração?
A. dicionar ela própria a alteração ao âmbito do programa, uma vez que é gestora de projectos
B. Criar uma carta de pedido de modificação que justifique o pedido de modificação
C. ocumentar o pedido de alteração num formulário de pedido de alteração
D. dicionar o pedido de alteração ao âmbito e concluir o controlo integrado de alterações
Ver resposta
Resposta correta: C
Pergunta #151
Quais são as funções do auditor na análise do risco? Cada resposta correcta representa uma solução completa. Escolha três.
A. Sistema de controlo das alterações de custos
B. Sistema de gestão da configuração
C. Sistema de controlo das alterações do âmbito
D. Controlo integrado de alterações
Ver resposta
Resposta correta: ACD
Pergunta #152
É o responsável pelo risco na Bluewell Inc.. É suposto dar prioridade a vários riscos. Um risco tem uma classificação de ocorrência, gravidade e deteção de 4, 5 e 6, respetivamente. Que número de prioridade de risco (RPN) lhe atribuiria?
A. 20
B. 00
C. 5
D. 0
Ver resposta
Resposta correta: A
Pergunta #153
Quando parece que um risco de projeto vai acontecer, como se designa este termo?
A. moeda com a evolução dos requisitos legislativos
B. Número de trabalhadores
C. Complexidade da estrutura organizacional
D. Diferenças culturais entre localizações físicas
Ver resposta
Resposta correta: C
Pergunta #154
Ao definir as estratégias de gestão do risco, quais são as principais partes a determinar em primeiro lugar? Cada resposta correcta representa uma parte da solução. Escolha duas.
A. Preconceito em relação ao risco nos novos recursos
B. Matrizes de probabilidade e impacto do risco
C. Incerteza em valores como a duração das actividades do calendário
D. Identificação dos riscos
Ver resposta
Resposta correta: BC
Pergunta #155
Qual das seguintes afirmações NÃO é verdadeira para uma comunicação eficaz dos riscos?
A. As informações sobre os riscos devem ser conhecidas e compreendidas por todas as partes interessadas
B. Utilização de termos técnicos de risco
C. Qualquer comunicação sobre os riscos deve ser pertinente
D. Para cada risco, existem momentos críticos entre a sua origem e a sua potencial consequência comercial
Ver resposta
Resposta correta: B
Pergunta #156
Qual das seguintes afirmações é verdadeira para os quadros, normas e práticas de gestão do risco? Cada resposta correcta representa uma parte da solução. Escolha três.
A. Comunicação de riscos
B. Risco operacional
C. Risco jurídico
D. Risco estratégico
Ver resposta
Resposta correta: ACD
Pergunta #157
Qual dos seguintes controlos se centra na eficiência operacional numa área funcional que adere às políticas de gestão?
A. Principais indicadores de risco
B. Modelos de maturidade das capacidades
C. Indicadores-chave de desempenho
D. Limiares métricos
Ver resposta
Resposta correta: C
Pergunta #158
Os modelos de maturidade das capacidades são os modelos utilizados pela empresa para se classificar em termos do nível menos maduro para o nível mais maduro. Qual dos seguintes níveis de maturidade de capacidades mostra que a empresa não reconhece a necessidade de considerar a gestão do risco ou o impacto comercial do risco informático?
A. Nível 2
B. ível 0
C. ível 3
D. Nível 1
Ver resposta
Resposta correta: B
Pergunta #159
Você é o gestor de projectos da sua empresa. Ao efetuar a gestão do risco, é-lhe atribuída a tarefa de identificar a situação da sua empresa em determinadas práticas e também de sugerir as prioridades de melhoria. Qual dos seguintes modelos utilizaria para realizar esta tarefa?
A. Modelo de maturidade das capacidades
B. Modelo de árvore de decisão
C. Modelo espinha-de-peixe
D. Modelo de árvore de simulação
Ver resposta
Resposta correta: A
Pergunta #160
Qual das seguintes opções é descrita pela definição dada abaixo? "É o valor garantido esperado da assunção de um risco."
A. Valor equivalente de certeza
B. Prémio de risco
C. Garantia do valor do risco
D. Garantia de um determinado valor
Ver resposta
Resposta correta: A
Pergunta #161
Um profissional de riscos de TI determinou que as atividades de mitigação diferem de um plano de ação de risco aprovado. Qual das seguintes opções é a MELHOR linha de ação do profissional de riscos?
A. Reverter as medidas de atenuação implementadas até à obtenção da aprovação
B. Validar a adequação das medidas de mitigação de risco implementadas
C. Comunicar a observação ao diretor de riscos (CRO)
D. Atualizar o registo dos riscos com as acções de atenuação dos riscos implementadas
Ver resposta
Resposta correta: B
Pergunta #162
Qual é a MAIOR preocupação com a manutenção de registos de risco descentralizados em vez de um registo de risco consolidado?
A. O risco agregado pode exceder a apetência e a tolerância ao risco da empresa
B. odem ser utilizados recursos duplicados para gerir os registos de risco
C. normalização das práticas de gestão do risco pode ser difícil de aplicar
D. A análise de risco pode ser inconsistente devido a escalas de impacto e de probabilidade não uniformes
Ver resposta
Resposta correta: D
Pergunta #163
Quais são os princípios do controlo de acesso? Cada resposta correcta representa uma solução completa. Escolha três.
A. Os relatórios de risco devem ser elaborados atempadamente
B. s métricas complexas requerem um ajuste fino
C. As ameaças e vulnerabilidades mudam com o tempo
D. Ajudam a evitar riscos
Ver resposta
Resposta correta: ABD
Pergunta #164
De acordo com a Secção 302 da Lei Sarbanes-Oxley de 2002, o que implica a certificação de relatórios? Cada resposta correcta representa uma solução completa. Escolha três.
A. Gestão dos riscos
B. Integração da resposta aos riscos
C. Aplicação da resposta aos riscos
D. Acompanhamento da resposta ao risco
Ver resposta
Resposta correta: BCD
Pergunta #165
Qual das seguintes opções é a MAIS importante para a eficácia dos indicadores-chave de desempenho (KPI)?
A. Aprovação da direção
B. Automatização
C. Revisão anual
D. Relevância
Ver resposta
Resposta correta: B
Pergunta #166
Qual das seguintes opções é o único resultado do processo de análise qualitativa do risco?
A. Plano de gestão do projeto
B. Actualizações do registo de riscos
C. Activos de processos organizacionais
D. Factores ambientais da empresa
Ver resposta
Resposta correta: B
Pergunta #167
Qual das seguintes opções MELHOR permite a identificação de tendências nos níveis de risco?
A. s medições dos indicadores-chave de risco (KRI) são repetíveis
B. ão utilizadas definições qualitativas para os indicadores-chave de risco (KRI)
C. ão utilizadas medições quantitativas para os principais indicadores de risco (KRI)
D. A correlação entre os níveis de risco e os principais indicadores de risco (KRI) é positiva
Ver resposta
Resposta correta: C
Pergunta #168
A Joana, Directora de Vendas, contacta-o e exige que adicione uma nova funcionalidade ao software que a sua equipa de projeto está a criar para a organização. Na reunião, ela diz-lhe o quão importante seria a alteração do âmbito. Você explica-lhe que o software está quase terminado e que acrescentar uma alteração agora poderia causar atrasos na entrega, custar fundos adicionais e, provavelmente, introduzir novos riscos no projeto. A Joana levanta-se e diz-lhe: "Eu sou o Diretor de Vendas e esta alteração vai ser feita no
A. Incluir imediatamente a alteração no âmbito do projeto
B. Orientar a sua equipa de projeto para incluir a alteração se tiverem tempo
C. Não implementar o pedido de alteração verbal
D. Comunique a Jane ao patrocinador do projeto e inclua a alteração
Ver resposta
Resposta correta: C
Pergunta #169
Um dos eventos de risco que identificou é classificado como força maior. Que resposta ao risco é suscetível de ser utilizada?
A. Aceitação
B. Transferência
C. Melhorar
D. Mitigação
Ver resposta
Resposta correta: A
Pergunta #170
Qual das seguintes situações é mais preocupante quando são feitas alterações não controladas ao ambiente de controlo?
A. Um aumento das vulnerabilidades de controlo
B. Um aumento do risco inerente
C. ma diminuição da eficácia das camadas de controlo
D. Um aumento do nível de risco residual
Ver resposta
Resposta correta: B
Pergunta #171
Qual das seguintes matrizes é utilizada para especificar limiares de risco?
A. Matriz de indicadores de risco
B. Matriz de impacto
C. Matriz do cenário de risco
D. Matriz de probabilidade
Ver resposta
Resposta correta: A
Pergunta #172
Você é o gestor de projeto do projeto GHT. Identificou um evento de risco no seu projeto atual que pode poupar $670.000 em custos de projeto, caso ocorra. A sua organização está a considerar a contratação de um fornecedor para ajudar a estabelecer técnicas de gestão de projectos adequadas, de forma a garantir que esta poupança é realizada. Qual das seguintes afirmações é VERDADEIRA para esse evento de risco?
A. Este evento de risco deve ser aceite porque as recompensas superam a ameaça ao projeto
B. Este evento de risco deve ser atenuado para tirar partido das poupanças
C. ste evento de risco é uma oportunidade para o projeto e deve ser explorado
D. Trata-se de um evento de risco que deve ser partilhado para tirar o máximo partido das economias potenciais
Ver resposta
Resposta correta: D
Pergunta #173
Existem cinco contributos para o processo de análise quantitativa do risco. Qual das seguintes opções NÃO é uma entrada para o processo de análise quantitativa do risco?
A. Plano de gestão dos riscos
B. Factores ambientais da empresa
C. Plano de gestão dos custos
D. Registo de riscos
Ver resposta
Resposta correta: B
Pergunta #174
Um indivíduo não autorizado conseguiu entrar, através de engenharia social, nas instalações físicas seguras de uma organização. Qual das seguintes opções é a MELHOR maneira de evitar ocorrências futuras?
A. xigir cartões de acesso de segurança
B. Empregar guardas de segurança
C. Instalar câmaras de segurança
D. Realizar formação de sensibilização para a segurança
Ver resposta
Resposta correta: D
Pergunta #175
Qual das seguintes opções seria a MAIS útil para justificar o investimento em estratégias de resposta aos riscos?
A. Análise custo-benefício
B. Análise do impacto nas empresas
C. Custo total de propriedade
D. Análise de dependência de recursos
Ver resposta
Resposta correta: A
Pergunta #176
Qual das seguintes é a razão PRINCIPAL para efetuar avaliações de risco contínuas?
A. O ambiente de risco está sujeito a alterações
B. O orçamento para a segurança da informação deve ser justificado
C. Os riscos emergentes devem ser continuamente comunicados à direção
D. Novas vulnerabilidades do sistema surgem em intervalos frequentes
Ver resposta
Resposta correta: A
Pergunta #177
Qual dos seguintes é o MELHOR método para manter uma visão comum do risco de TI numa organização?
A. stabelecer e comunicar o perfil de risco informático
B. Efetuar e publicar uma análise de risco informático
C. Recolha de dados para a avaliação dos riscos informáticos
D. Utilização de um balanced scorecard
Ver resposta
Resposta correta: B
Pergunta #178
A revisão e a atualização periódicas de um registo de riscos com informações pormenorizadas sobre os factores de risco identificados contribuem PRIMEIRAMENTE para
A. ornecer uma referência atual às partes interessadas para decisões baseadas no risco
B. inimizar o número de cenários de risco para a avaliação do risco
C. gregar os cenários de risco identificados nas diferentes unidades de negócio
D. riar um perfil de ameaças da organização para análise da direção
Ver resposta
Resposta correta: A
Pergunta #179
Qual das seguintes opções é a MELHOR indicação de um programa de gestão de riscos eficaz?
A. Os planos de ação em matéria de riscos são aprovados pela direção
B. Os controlos atenuantes são concebidos e aplicados
C. O risco residual está dentro do apetite de risco organizacional
D. O risco é registado e acompanhado no registo de riscos
Ver resposta
Resposta correta: B
Pergunta #180
Qual das seguintes opções deve ser incluída num cenário de risco a ser utilizado na análise de risco?
A. Risco residual
B. Tolerância ao risco
C. Apetite pelo risco
D. Tipo de ameaça
Ver resposta
Resposta correta: D
Pergunta #181
Durante uma verificação de rotina, um administrador de sistemas identifica uma atividade invulgar que indica um intruso numa firewall. Qual dos seguintes controlos foi MAIS provavelmente comprometido?
A. Autenticação
B. Identificação
C. Validação de dados
D. Integridade dos dados
Ver resposta
Resposta correta: A
Pergunta #182
Qual das seguintes é a MELHOR forma de promover a adesão ao nível de tolerância ao risco definido pela direção?
A. Evitar riscos que se possam materializar em perdas substanciais
B. Aumentar os recursos organizacionais para mitigar os riscos
C. efinição das expectativas na política de risco da empresa
D. Comunicação dos resultados da auditoria externa
Ver resposta
Resposta correta: C
Pergunta #183
O Ben trabalha como gestor de projeto para o Projeto MJH. Neste projeto, o Ben está a preparar-se para identificar as partes interessadas de modo a poder comunicar os requisitos, o estado e os riscos do projeto. O Ben optou por utilizar um modelo de saliência como parte do seu processo de identificação das partes interessadas. Qual das seguintes actividades melhor descreve um modelo de saliência?
A. escrever classes de partes interessadas com base no seu poder (capacidade de impor a sua vontade), urgência (necessidade de atenção imediata) e legitimidade (o seu envolvimento é apropriado)
B. Agrupamento das partes interessadas com base no seu nível de autoridade ("poder") e no seu nível de preocupação ("interesse") relativamente aos resultados do projeto
C. Grelha de influência/impacto, que agrupa as partes interessadas com base no seu envolvimento ativo ("influência") no projeto e na sua capacidade de afetar alterações ao planeamento ou à execução do projeto ("impacto")
D. Agrupamento das partes interessadas com base no seu nível de autoridade ("poder") e no seu envolvimento ativo ("influência") no projeto
Ver resposta
Resposta correta: A
Pergunta #184
Um gestor de programas concluiu um teste de recuperação de desastres sem sucesso. Qual das seguintes opções o profissional de risco deve recomendar como o PRÓXIMO curso de ação?
A. Identificar os controlos adicionais necessários
B. tualizar a análise de impacto nas empresas (BIA)
C. ar prioridade aos problemas detectados durante a janela de teste
D. Comunicar os resultados dos testes à direção
Ver resposta
Resposta correta: B
Pergunta #185
Qual das seguintes opções é a MELHOR indicação da eficácia de um programa de continuidade de negócios?
A. Os testes de continuidade das actividades são realizados com êxito e os problemas são resolvidos
B. Os planos de continuidade das actividades e de recuperação de desastres são regularmente actualizados
C. As análises de impacto comercial são revistas e actualizadas em tempo útil
D. As unidades de negócio estão familiarizadas com os planos e processos de continuidade do negócio
Ver resposta
Resposta correta: A
Pergunta #186
Um profissional do risco está a preparar um relatório para comunicar alterações no ambiente de risco e controlo. A MELHOR maneira de atrair a atenção das partes interessadas é..:
A. Incluir um roteiro para alcançar a excelência operacional
B. ncluir um resumo que relacione a informação com as necessidades das partes interessadas
C. ublicar o relatório a pedido das partes interessadas
D. ncluir desvios pormenorizados em relação aos padrões de referência do sector
Ver resposta
Resposta correta: A
Pergunta #187
Ao dar prioridade à resposta aos riscos, a direção deve PRIMEIRO:
A. valiar a capacidade e a competência da organização para implementar a solução
B. valiar a resposta ao risco de organizações semelhantes
C. eterminar quais os factores de risco com custos de correção elevados
D. bordar os factores de alto risco que têm soluções eficientes e eficazes
Ver resposta
Resposta correta: A
Pergunta #188
Está a trabalhar numa empresa. O seu projeto lida com ficheiros importantes que estão armazenados no computador. Identificou o risco de falha das operações. Para resolver este risco de falha, orientou o administrador do sistema a assinar a cópia de segurança diária. Este cenário é um exemplo de qual das seguintes situações?
A. Operacional
B. inanceiro
C. Informação
D. Estratégico
Ver resposta
Resposta correta: D
Pergunta #189
Wendy identificou um evento de risco no seu projeto que tem um impacto de $75.000 e uma probabilidade de 60% de acontecer. Através de pesquisa, a sua equipa de projeto descobre que o impacto do risco pode ser reduzido para apenas $15.000 com apenas 10% de hipóteses de ocorrer. A solução proposta custará $25.000. Wendy concorda com a solução de $25.000. Que tipo de resposta ao risco é esta?
A. Mitigação
B. Evitar
C. Transferência
D. Melhorar
Ver resposta
Resposta correta: A
Pergunta #190
Qual das seguintes é a consideração de segurança MAIS crítica quando uma empresa subcontrata a maior parte do departamento de TI a um terceiro cujos servidores se encontram numa empresa estrangeira?
A. A notificação de uma violação de segurança pode sofrer atrasos devido à diferença horária
B. A empresa não pode controlar a conformidade com as suas directrizes internas de segurança e privacidade
C. As leis e regulamentos do país de origem podem não ser aplicáveis no país estrangeiro
D. Devem ser instalados sensores adicionais de deteção de intrusão na rede, o que resultará em custos adicionais
Ver resposta
Resposta correta: C
Pergunta #191
Você é o gestor de projectos da sua organização. Está a preparar-se para a análise de risco quantitativa. Mark, um membro da equipa de projeto, quer saber por que razão é necessário fazer uma análise de risco quantitativa quando acabou de concluir a análise de risco qualitativa. Qual das seguintes afirmações define melhor o que é a análise de risco quantitativa?
A. A análise quantitativa dos riscos é a revisão dos eventos de risco com maior probabilidade e maior impacto nos objectivos do projeto
B. A análise quantitativa do risco é o processo de atribuição de prioridades aos riscos para análise ou ação posterior, através da avaliação e combinação da sua probabilidade de ocorrência e impacto
C. análise quantitativa dos riscos é o processo de análise numérica do efeito dos riscos identificados nos objectivos globais do projeto
D. A análise quantitativa do risco é o planeamento e a quantificação das respostas ao risco com base na probabilidade e no impacto de cada evento de risco
Ver resposta
Resposta correta: C
Pergunta #192
Após uma violação de sistemas de alto perfil no fornecedor principal de uma organização, o fornecedor implementou controlos de mitigação adicionais. O fornecedor partilhou voluntariamente o seguinte conjunto de avaliações: Qual das avaliações fornece os dados MAIS fiáveis para avaliar o risco residual no ambiente de controlo do fornecedor?
A. Auditoria externa
B. Auditoria interna
C. Quadro de avaliação do desempenho do fornecedor
D. Exame regulamentar
Ver resposta
Resposta correta: B
Pergunta #193
É o gestor de projeto do Projeto NKJ da sua empresa. O sucesso ou fracasso do projeto terá um impacto significativo na rentabilidade da sua organização para o próximo ano. A administração pediu-lhe que identificasse os eventos de risco e comunicasse a probabilidade e o impacto do evento o mais cedo possível no projeto. A administração quer evitar eventos de risco e precisa de analisar os custos-benefícios de cada evento de risco neste projeto. Que termo é atribuído ao baixo nível de tolerância das partes interessadas neste projeto?
A. Gestão de projectos preparados para a atenuação
B. Prevenção de riscos
C. Função de utilidade do risco
D. Mentalidade de risco-recompensa
Ver resposta
Resposta correta: C
Pergunta #194
Qual dos seguintes é o elemento MAIS importante de um programa de formação de sensibilização para os riscos bem sucedido?
A. Mapeamento para uma norma reconhecida
B. ornecer métricas para medição
C. Personalizar o conteúdo para o público
D. Proporcionar incentivos aos participantes
Ver resposta
Resposta correta: B
Pergunta #195
Quais das seguintes afirmações são verdadeiras para a comunicação de riscos? Cada resposta correcta representa uma solução completa. Escolha três.
A. É um evento desconhecido que pode afetar o âmbito do projeto
B. É um acontecimento ou uma condição incerta no âmbito da execução do projeto
C. É um acontecimento incerto que pode afetar os custos do projeto
D. É um acontecimento incerto que pode afetar pelo menos um objetivo do projeto
Ver resposta
Resposta correta: ACD
Pergunta #196
Qual das seguintes opções é a MAIS importante para uma resposta a incidentes bem sucedida?
A. A quantidade de dados registados pelas ferramentas de controlo de ataques
B. A capacidade de localizar a origem do ataque
C. A atualidade do reconhecimento de ataques
D. Bloquear imediatamente a rota de ataque
Ver resposta
Resposta correta: C
Pergunta #197
O Shawn é o gestor de projeto do projeto HWT. Neste projeto, a equipa de Shawn informa que encontrou uma forma de concluir o trabalho do projeto a um preço mais baixo do que o inicialmente previsto. A equipa de projeto apresenta um novo software que ajudará a automatizar o trabalho do projeto. Embora o software e a formação associada custem $25.000, o projeto poupará quase $65.000 em custos totais. Shawn concorda com o software e altera o plano de gestão do projeto em conformidade. Que tipo de resposta ao risco é que o Bee
A. Evitar
B. Aceitar
C. Exploração
D. Melhorar
Ver resposta
Resposta correta: C
Pergunta #198
A MELHOR razão para classificar os activos de TI durante uma avaliação do risco é determinar o nível de risco:
A. Nível de proteção adequado
B. Perfil de risco da empresa
C. rioridade no registo dos riscos
D. proprietário do processo empresarial
Ver resposta
Resposta correta: A
Pergunta #199
Depois de um risco ter sido identificado, quem está na MELHOR posição para selecionar a opção de tratamento de risco adequada?
A. O profissional de risco
B. O proprietário do risco
C. O proprietário do controlo
D. O proprietário do processo empresarial
Ver resposta
Resposta correta: A
Pergunta #200
Ao avaliar os custos de controlo, a administração descobre que o custo anual excede a expetativa de perda anual (ALE) do risco. Isto indica a:
A. O controlo é ineficaz e deve ser reforçado
B. O risco é controlado de forma ineficaz
C. O risco é controlado de forma eficiente
D. O controlo é fraco e deve ser suprimido
Ver resposta
Resposta correta: B
Pergunta #201
Quais são os erros mais comuns na implementação dos KRIs? Cada resposta correcta representa uma solução completa. Escolha três.
A. Operacional
B. inanceiro
C. dministrativo
D. Especializado
Ver resposta
Resposta correta: ACD
Pergunta #202
Qual das seguintes opções MELHOR garante que uma firewall está configurada em conformidade com a política de segurança de uma empresa?
A. Entrevistar o administrador da firewall
B. Rever os procedimentos actuais
C. ever o ficheiro de registo do dispositivo para ataques recentes
D. ever as definições dos parâmetros
Ver resposta
Resposta correta: D
Pergunta #203
Qual dos seguintes é o método MAIS eficaz para indicar que o nível de risco se está a aproximar de um nível de risco elevado ou inaceitável?
A. Registo de riscos
B. Diagrama de causa e efeito
C. Indicador de risco
D. Retorno do investimento
Ver resposta
Resposta correta: C
Pergunta #204
Qual das seguintes opções MELHOR permite a um profissional do risco melhorar a compreensão do risco entre as partes interessadas?
A. Análise de ameaças
B. Principais indicadores de risco
C. Cenários de risco
D. Análise do impacto nas empresas
Ver resposta
Resposta correta: A
Pergunta #205
Você é o gestor de projeto do projeto GHT. Planeou o processo de resposta ao risco e está prestes a implementar vários controlos. O que deve fazer antes de confiar em qualquer um dos controlos?
A. Existe um entendimento de que o risco é importante e precisa de ser gerido, mas é visto como uma questão técnica e a empresa considera principalmente o lado negativo do risco informático
B. As decisões que envolvem riscos carecem de informações credíveis
C. A apetência e a tolerância ao risco só são aplicadas durante as avaliações episódicas dos riscos
D. As competências de gestão do risco existem numa base ad hoc, mas não são ativamente desenvolvidas
Ver resposta
Resposta correta: AC
Pergunta #206
Uma organização concluiu um projeto para implementar a encriptação em todas as bases de dados que alojam dados de clientes. Qual dos seguintes elementos do registo de riscos deve ser atualizado para refletir esta alteração?
A. Tolerância ao risco
B. Risco inerente
C. Apetite pelo risco
D. Probabilidade de risco
Ver resposta
Resposta correta: B
Pergunta #207
Qual das seguintes linhas de base identifica as especificações exigidas pelo recurso que cumprem os requisitos aprovados?
A. Base de referência funcional
B. Base de referência afetada
C. Linha de base do produto
D. Linha de base do desenvolvimento
Ver resposta
Resposta correta: B
Pergunta #208
Qual das seguintes opções MELHOR indica a condição de um programa de gestão de riscos?
A. Número de controlos
B. Montante do risco residual
C. úmero de entradas no registo de riscos
D. Nível de apoio financeiro
Ver resposta
Resposta correta: B
Pergunta #209
Qual das seguintes é a preocupação MAIS comum associada à subcontratação de um prestador de serviços?
A. Combinação de funções incompatíveis
B. Utilização não autorizada de dados
C. Ataques de negação de serviço
D. Falta de conhecimentos técnicos
Ver resposta
Resposta correta: B
Pergunta #210
Qual das seguintes opções se insere nas fases da gestão do risco?
A. Iniciar a resposta ao incidente
B. tualizar o registo de riscos
C. Eliminar completamente o risco
D. Comunicar as lições aprendidas com os eventos de risco
Ver resposta
Resposta correta: ABCD
Pergunta #211
Quem é responsável pelo tratamento dos riscos?
A. Proprietário do risco
B. Gestor da atenuação dos riscos
C. Equipa de gestão dos riscos da empresa
D. Proprietário do processo empresarial
Ver resposta
Resposta correta: A
Pergunta #212
Qual das seguintes opções ilustra MELHOR a relação entre a exposição real ao risco e o apetite?
A. Risco residual que excede a apetência
B. Eventos de risco no perfil de risco
C. Percentagem de cenários de alto risco
D. Controlos que excedem a apetência pelo risco
Ver resposta
Resposta correta: D
Pergunta #213
A comunicação eficaz de riscos BEST beneficia uma organização ao
A. Melhorar a eficácia dos controlos informáticos
B. judar o pessoal a tomar decisões mais bem informadas
C. Aumentar a participação no processo de avaliação dos riscos
D. Apoiar o desenvolvimento de um registo de riscos
Ver resposta
Resposta correta: A
Pergunta #214
Beth é membro da equipa do projeto JHG. Beth adicionou funcionalidades extra ao projeto, o que introduziu novos riscos no trabalho do projeto. O gestor de projeto do projeto JHG opta por remover as funcionalidades que Beth adicionou. O processo de remoção das funcionalidades extra para eliminar os riscos designa-se por quê?
A. Controlo de detectives
B. Controlo preventivo
C. Controlo corretivo
D. Desvio do âmbito
Ver resposta
Resposta correta: B
Pergunta #215
Avaliar a probabilidade e as consequências dos riscos identificados para os objectivos do projeto, atribuir uma pontuação de risco a cada risco e criar uma lista de riscos prioritários descreve qual dos seguintes processos?
A. Análise qualitativa dos riscos
B. lanear a gestão dos riscos
C. dentificar os riscos
D. Análise quantitativa do risco
Ver resposta
Resposta correta: A
Pergunta #216
É o responsável pelo risco na Bluewell Inc.. É suposto dar prioridade a vários riscos. Um risco tem uma classificação de ocorrência, gravidade e deteção de 4, 5 e 6, respetivamente. Que número de prioridade de risco (RPN) lhe atribuiria?
A. 20
B. 00
C. 5
D. 0
Ver resposta
Resposta correta: A
Pergunta #217
Qual das seguintes deve ser a prioridade MAIS ALTA ao desenvolver uma resposta ao risco?
A. A resposta ao risco é contabilizada no orçamento
B. A resposta ao risco está alinhada com a apetência pelo risco da organização
C. A resposta ao risco baseia-se numa análise custo-benefício
D. A resposta ao risco aborda o risco com uma visão holística
Ver resposta
Resposta correta: C
Pergunta #218
Um mapa de calor do risco é MAIS comummente utilizado como parte de uma análise do risco informático para facilitar o risco:
A. ratamento
B. dentificação
C. omunicação
D. valiação
Ver resposta
Resposta correta: D
Pergunta #219
Uma organização está a considerar a aquisição de uma nova linha de negócio e pretende desenvolver novos cenários de risco de TI para orientar as suas decisões. Qual das seguintes opções acrescentaria MAIS valor aos novos cenários de risco?
A. Constatações da auditoria
B. Perdas esperadas
C. Análise custo-benefício
D. Ameaças organizacionais
Ver resposta
Resposta correta: D
Pergunta #220
Qual das seguintes é a MELHOR prova de que uma conta de utilizador foi devidamente autorizada?
A. Notificação dos recursos humanos de que a conta está ativa
B. Aprovação formal da conta pelo gestor do utilizador
C. rivilégios do utilizador correspondentes ao formulário de pedido
D. Um e-mail do utilizador a aceitar a conta
Ver resposta
Resposta correta: C
Pergunta #221
Qual das seguintes é a MELHOR forma de mitigar o risco associado à utilização fraudulenta da marca de uma empresa em sítios da Internet?
A. Utilizar tecnologia de prevenção de perda de dados
B. Verificar a Internet para procurar utilizações não autorizadas
C. Monitorizar a utilização da Internet pela empresa
D. Desenvolver campanhas de formação e sensibilização
Ver resposta
Resposta correta: B
Pergunta #222
Qual das seguintes opções é considerada uma vulnerabilidade?
A. Atraso na supressão do acesso dos trabalhadores
B. Corrupção de ficheiros devido a malware
C. Acesso administrativo autorizado aos ficheiros RH
D. Tempo de inatividade do servidor devido a um ataque de negação de serviço (DoS)
Ver resposta
Resposta correta: A
Pergunta #223
Você é o gestor do projeto HJK da sua organização. Você e a equipa do projeto criaram respostas aos riscos para muitos dos eventos de risco do projeto. Onde deve documentar as respostas propostas e o estado atual de todos os riscos identificados?
A. Custo da resposta
B. apacidade de execução da resposta
C. Importância do risco
D. Eficiência da resposta
Ver resposta
Resposta correta: C
Pergunta #224
É o administrador da sua empresa. Qual dos seguintes controlos utilizaria que MELHOR protege uma empresa de indivíduos não autorizados que obtêm acesso a informações sensíveis?
A. onitorização e registo de tentativas de início de sessão sem êxito
B. orçar alterações periódicas da palavra-passe
C. Utilizar um sistema de resposta a desafios
D. Fornecer acesso com base na necessidade de conhecimento
Ver resposta
Resposta correta: D
Pergunta #225
As estratégias de gestão de riscos são adoptadas PRIMARIAMENTE para:
A. umprir os requisitos legais
B. omar as precauções necessárias em caso de sinistros e perdas
C. vitar riscos para os activos comerciais e informáticos
D. tingir níveis de risco residual aceitáveis
Ver resposta
Resposta correta: B
Pergunta #226
Os auditores internos de uma organização identificaram uma nova deficiência de controlo de TI no sistema de gestão de identidades e acessos (IAM) da organização. É muito importante que o profissional de risco
A. fetuar uma avaliação de risco de acompanhamento para quantificar o impacto do risco
B. erificar se os proprietários do risco aplicáveis compreendem o risco
C. mplementar controlos de compensação para corrigir a deficiência
D. ecomendar a substituição do sistema deficiente
Ver resposta
Resposta correta: C
Pergunta #227
Trabalha como gestor de projectos na empresa Inc. Tem de realizar as actividades de gestão do risco de um projeto. Qual das seguintes entradas irá utilizar no processo de gestão do risco do plano? Cada resposta correcta representa uma solução completa. (Escolha três.)
A. Plano de gestão da qualidade
B. Plano de gestão dos riscos
C. Registo dos riscos
D. Carta de projeto
Ver resposta
Resposta correta: BCD
Pergunta #228
Ao atualizar o registo de riscos após uma avaliação de riscos, qual das seguintes opções é MAIS importante incluir?
A. Ator e tipo de ameaça do cenário de risco
B. Perdas históricas devidas a acontecimentos de risco passados
C. ustos para reduzir o impacto e a probabilidade de ocorrência
D. Probabilidade e impacto do cenário de risco
Ver resposta
Resposta correta: D
Pergunta #229
Quais são os objectivos PRIMÁRIOS de um controlo?
A. Detetar, recuperar e atacar
B. revenir, responder e registar
C. revenir, controlar e atacar
D. Prevenir, recuperar e detetar
Ver resposta
Resposta correta: D
Pergunta #230
É o gestor de projeto da sua organização para instalar novas estações de trabalho, servidores e cablagem num novo edifício, para onde a sua empresa se vai mudar. O fornecedor do projeto informa-o de que o custo da cablagem aumentou por algum motivo. Este novo custo fará com que o custo do seu projeto aumente em quase oito por cento. Em que sistema de controlo de alterações devem os custos ser introduzidos para revisão?
A. Sistema de controlo das alterações de custos
B. Sistema de controlo das alterações ao contrato
C. Sistema de controlo das alterações do âmbito
D. Apenas as alterações ao âmbito do projeto devem passar por um sistema de controlo de alterações
Ver resposta
Resposta correta: A
Pergunta #231
O estabelecimento de um código de conduta organizacional é um exemplo de que tipo de controlo?
A. Diretiva
B. Preventiva
C. Detetive
D. Compensação
Ver resposta
Resposta correta: A
Pergunta #232
Qual das seguintes é a MELHOR forma de validar se os controlos para reduzir as vulnerabilidades dos dispositivos dos utilizadores foram implementados de acordo com o plano de ação da administração?
A. Inquérito aos proprietários de dispositivos
B. Analisar os resultados da avaliação da formação de sensibilização
C. oltar a analisar o ambiente do utilizador
D. Exigir a aceitação anual da política do utilizador final
Ver resposta
Resposta correta: C
Pergunta #233
Qual das seguintes opções deve ser a consideração PRIMÁRIA ao implementar controlos para monitorizar os registos de atividade do utilizador?
A. Criar correlações entre registos recolhidos de diferentes fontes
B. Assegurar que o controlo é proporcional ao risco
C. Implementação de ferramentas de análise de registos para automatizar os controlos
D. Garantir a disponibilidade de recursos para a análise de registos
Ver resposta
Resposta correta: D

View The Updated ISACA Exam Questions

SPOTO Provides 100% Real ISACA Exam Questions for You to Pass Your ISACA Exam!

Get ISACA Practice Test

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.