NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Últimas perguntas do exame ISACA CRISC para uma preparação eficaz do exame

A obtenção da certificação CRISC (Certified in Risk and Information Systems Control) é um ativo valioso para os profissionais de gestão de riscos. No entanto, a preparação para o exame CRISC pode ser uma tarefa difícil. É aí que as perguntas e os recursos do exame CRISC da SPOTO são úteis. A SPOTO oferece uma coleção abrangente de perguntas e respostas para o exame CRISC, perguntas de teste, exames simulados e materiais de estudo adaptados aos objectivos do exame CRISC. Estes recursos de preparação para o exame são concebidos para simular o ambiente real do exame, proporcionando-lhe uma experiência realista e aumentando a sua confiança. Com as perguntas do exame CRISC da SPOTO, pode identificar as áreas em que precisa de mais estudo e prática, garantindo que possui os conhecimentos e as competências necessárias para melhorar a resiliência empresarial da sua empresa, fornecer valor aos intervenientes e otimizar a gestão de riscos em toda a empresa. Aproveitando estes recursos de exame e praticando com exames simulados, pode preparar-se eficazmente e aumentar as suas hipóteses de passar com êxito no exame de certificação CRISC.
Faça outros exames online
Pergunta #1
Uma avaliação dos controlos de segurança da informação identificou controlos ineficazes. Qual das seguintes opções deve ser a PRIMEIRA linha de ação do profissional de riscos?
A. Implementar um controlo de compensação para corrigir as deficiências identificadas
B. Comunicar a ineficácia do controlo para inclusão no próximo relatório de auditoria
C. eterminar se o impacto está fora da apetência pelo risco
D. Solicitar uma aceitação formal do risco por parte da direção
Ver resposta
Resposta correta: A
Pergunta #2
Qual das seguintes opções quantifica MELHOR o risco associado a utilizadores maliciosos numa organização?
A. Análise do impacto nas empresas
B. Avaliação do risco de ameaça
C. Avaliação da vulnerabilidade
D. Análise de risco
Ver resposta
Resposta correta: B
Pergunta #3
Qual das seguintes opções deve ser a consideração PRIMÁRIA ao avaliar a automatização da monitorização do controlo?
A. Frequência das falhas de controlo
B. Plano de emergência para riscos residuais
C. Análise custo-benefício da automatização
D. Impacto devido a falha de controlo
Ver resposta
Resposta correta: D
Pergunta #4
Para qual dos seguintes níveis de maturidade da capacidade de gestão do risco a afirmação dada abaixo é verdadeira? "Existe uma monitorização em tempo real dos eventos de risco e das excepções de controlo, bem como uma automatização da gestão de políticas"
A. Nível 3
B. ível 0
C. ível 5
D. Nível 2
Ver resposta
Resposta correta: C
Pergunta #5
Qual dos seguintes é o MELHOR indicador da eficácia da aplicação de um plano de ação de controlo?
A. Maior apetência pelo risco
B. Aumento do número de controlos
C. Nível de risco reduzido
D. Compromisso das partes interessadas
Ver resposta
Resposta correta: C
Pergunta #6
É o gestor de projeto de um grande projeto de construção. Este projeto terá a duração de 18 meses e custará $750.000 para ser concluído. Está a trabalhar com a sua equipa de projeto, peritos e partes interessadas para identificar os riscos do projeto antes do início dos trabalhos. A administração quer saber por que razão agendou tantas reuniões de identificação de riscos ao longo do projeto, em vez de apenas inicialmente, durante o planeamento do projeto. Qual é a melhor razão para a duplicação das sessões de identificação de riscos?
A. As reuniões iterativas permitem que todas as partes interessadas participem nos processos de identificação dos riscos ao longo das fases do projeto
B. s reuniões iterativas permitem ao gestor de projeto discutir os eventos de risco que passaram pelo projeto e que não aconteceram
C. As reuniões iterativas permitem que o gestor do projeto e os participantes na identificação dos riscos identifiquem os novos eventos de risco descobertos ao longo do projeto
D. s reuniões iterativas permitem ao gestor de projeto comunicar os riscos pendentes durante a execução do projeto
Ver resposta
Resposta correta: C
Pergunta #7
Uma organização opera numa jurisdição onde são impostas pesadas coimas pela fuga de dados de clientes. Qual das seguintes opções fornece a MELHOR entrada para avaliar o impacto do risco inerente?
A. Número de registos de clientes detidos
B. Número de bases de dados que alojam dados de clientes
C. Número de bases de dados de clientes encriptadas
D. Número de membros do pessoal com acesso aos dados dos clientes
Ver resposta
Resposta correta: D
Pergunta #8
Quais são os componentes de risco MAIS importantes que devem ser comunicados a todas as partes interessadas? Cada resposta correcta representa uma parte da solução. Escolha três.
A. s modelos A
B. O IRGC é simultaneamente um conceito e um instrumento
C. RGC aborda o desenvolvimento da resiliência e da capacidade das organizações e das pessoas para enfrentarem riscos inevitáveis
D. RGC aborda a compreensão dos impactos secundários de um risco
Ver resposta
Resposta correta: BCD
Pergunta #9
Você é o gestor de projeto do projeto QPS. Você e a sua equipa de projeto identificaram um risco puro. Juntamente com as principais partes interessadas, decidiu eliminar o risco puro do projeto, alterando completamente o plano do projeto. O que é um risco puro?
A.
B.
C.
D.
Ver resposta
Resposta correta: A
Pergunta #10
Qual das seguintes opções MELHOR ajudaria a garantir que o risco identificado é gerido de forma eficiente?
A. Revisão da maturidade do ambiente de controlo
B. Manter um indicador-chave de risco para cada ativo no registo de riscos
C. Acompanhamento regular do plano do projeto
D. Revisão periódica dos controlos de acordo com o plano de tratamento de riscos
Ver resposta
Resposta correta: A
Pergunta #11
Qual das seguintes actualizações do registo de riscos é MAIS importante para a gestão de topo analisar?
A. Evitar um risco que foi previamente aceite
B. Prorrogação por dois meses da data de um futuro plano de ação
C. Retirada de um cenário de risco que já não é utilizado
D. lterar um proprietário do risco
Ver resposta
Resposta correta: B
Pergunta #12
Você é o gestor do projeto GHY da sua empresa. Precisa de concluir um processo de gestão de projectos que esteja atento a novos riscos, riscos em mudança e riscos que estão agora ultrapassados. Que processo de gestão de projectos é responsável por estas acções?
A. Planeamento dos riscos
B. Acompanhamento e controlo dos riscos
C. Identificação dos riscos
D. Análise de risco
Ver resposta
Resposta correta: B
Pergunta #13
O proprietário de uma aplicação especificou que o tempo de inatividade aceitável no caso de um incidente era muito inferior ao tempo real necessário para a equipa de resposta recuperar a aplicação. Qual das seguintes opções deve ser a próxima linha de ação?
A. nvocar o plano de recuperação de desastres durante um incidente
B. Reduzir o tempo de recuperação reforçando a equipa de resposta
C. Preparar uma análise custo-benefício das alternativas disponíveis
D. Implementar uma infraestrutura redundante para a aplicação
Ver resposta
Resposta correta: C
Pergunta #14
Numerosos relatórios dos meios de comunicação social indicam que uma vulnerabilidade técnica recentemente descoberta está a ser ativamente explorada. Qual das seguintes opções seria a MELHOR resposta a este cenário?
A. valiar o processo de gestão de vulnerabilidades
B. Realizar uma autoavaliação do controlo
C. Reavaliar o risco inerente ao objetivo
D. Efetuar uma avaliação da vulnerabilidade
Ver resposta
Resposta correta: D
Pergunta #15
Qual dos seguintes aspectos de uma autoavaliação do risco e controlo de TI seria MAIS importante incluir num relatório para a gestão de topo?
A. Uma diminuição do número de controlos-chave
B. Alterações na conceção do controlo
C. Um aumento do risco residual
D. Alterações na propriedade do controlo
Ver resposta
Resposta correta: D
Pergunta #16
O método de análise de risco da expetativa de perda anualizada (ALE):
A. Utiliza classificações de risco qualitativas, tais como baixo, médio e elevado
B. ode ser utilizado para determinar o impacto comercial indireto
C. juda a calcular o custo previsto dos controlos
D. ode ser utilizado numa análise custo-benefício
Ver resposta
Resposta correta: D
Pergunta #17
Qual dos seguintes seria o MELHOR indicador-chave de desempenho (KPI) para monitorizar a eficácia do processo de gestão de activos de TI?
A. Percentagem de activos informáticos não corrigidos
B. O número de activos informáticos adquiridos durante o mês anterior
C. O número de activos informáticos eliminados de forma segura durante o ano passado
D. Percentagem de activos informáticos sem propriedade
Ver resposta
Resposta correta: C
Pergunta #18
Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para medir a eficácia de um processo de gestão de vulnerabilidades?
A. Percentagem de vulnerabilidades corrigidas dentro do nível de serviço acordado
B. Número de vulnerabilidades identificadas durante o período
C. Número de vulnerabilidades reabertas durante o período
D. Percentagem de vulnerabilidades comunicadas à gestão de topo
Ver resposta
Resposta correta: A
Pergunta #19
Quais são os requisitos para a criação de cenários de risco? Cada resposta correcta representa uma parte da solução. (Escolha três.)
A. Determinação da causa e do efeito
B. Determinação do valor do processo empresarial em risco
C. Ameaças e vulnerabilidades potenciais que podem causar perdas
D. Determinação do valor de um ativo
Ver resposta
Resposta correta: BCD
Pergunta #20
Para ajudar a garantir o sucesso de um grande projeto de TI, é MUITO importante
A. bter a aprovação dos proprietários dos processos empresariais
B. bter o empenhamento das partes interessadas adequadas
C. tualizar regularmente o registo de riscos
D. linhá-lo com o plano estratégico da organização
Ver resposta
Resposta correta: B
Pergunta #21
Qual das seguintes é a MELHOR forma de gerir o risco inerente à rede sem fios?
A. tivar a auditoria em todos os anfitriões que se ligam a uma rede sem fios
B. xigir encriptação privada baseada em chaves para ligar à rede sem fios
C. Exigir que todos os anfitriões que se ligam a esta rede tenham um plano de recuperação bem testado
D. tivar a auditoria em todas as ligações à rede sem fios
Ver resposta
Resposta correta: B
Pergunta #22
É MAIS apropriado que as alterações sejam promovidas à produção depois de o serem:
A. provado pelo proprietário da empresa
B. estado por empresários
C. omunicada à gestão empresarial
D. niciado por utilizadores profissionais
Ver resposta
Resposta correta: B
Pergunta #23
Qual dos seguintes é o resultado MAIS importante da revisão do processo de gestão do risco?
A. Melhorar as competências dos funcionários que efectuaram a revisão
B. Assegurar que o perfil de risco apoia os objectivos de TI
C. eterminar que alterações devem ser feitas às políticas de SI para reduzir o risco
D. Determinar se os procedimentos utilizados na avaliação dos riscos são adequados
Ver resposta
Resposta correta: B
Pergunta #24
Qual das seguintes é a MELHOR forma de determinar a eficiência contínua dos processos de controlo?
A. Proprietários do processo de entrevista
B. Rever o registo de riscos
C. fetuar avaliações de risco anuais
D. Analisar os indicadores-chave de desempenho (KPI)
Ver resposta
Resposta correta: D
Pergunta #25
Qual dos seguintes itens é considerado como um objetivo do modelo tridimensional no âmbito da estrutura descrita no COSO ERM?
A. Avaliação dos riscos
B. Relatórios financeiros
C. Ambiente de controlo
D. Controlo
Ver resposta
Resposta correta: B
Pergunta #26
A análise dos resultados de qual das seguintes opções é a MELHOR forma de identificar as deficiências de controlo dos sistemas de informação?
A. Autoavaliação do controlo (CSA)
B. Análise de vulnerabilidades e ameaças
C. Testes de aceitação do utilizador (UAT)
D. Planeamento da correção do controlo
Ver resposta
Resposta correta: B
Pergunta #27
O MELHOR indicador-chave de desempenho (KPI) para medir a eficácia de um processo de cópia de segurança seria o número de cópias de segurança:
A. edidos de recuperação de cópias de segurança
B. ecursos para monitorizar as cópias de segurança
C. Relatórios de controlo do restauro
D. alhas de restauro recorrentes
Ver resposta
Resposta correta: C
Pergunta #28
Qual das seguintes considerações deve ser tida em conta ao selecionar indicadores de risco que garantam uma maior adesão e apropriação?
A. Indicador de desfasamento
B. Indicador principal
C. Causa principal
D. Parte interessada
Ver resposta
Resposta correta: D
Pergunta #29
Qual dos seguintes é o MELHOR controlo para detetar uma ameaça persistente avançada (APT)?
A. Acompanhamento das actividades nas redes sociais
B. Realização de testes de penetração regulares
C. Utilizar sistemas antivírus e firewalls
D. Implementação da monitorização automatizada de registos
Ver resposta
Resposta correta: B
Pergunta #30
Qual das seguintes opções é o processo de análise numérica dos efeitos dos riscos identificados nos objectivos globais da empresa?
A. Identificação de riscos
B. Avaliação quantitativa dos riscos
C. Avaliação qualitativa dos riscos
D. Acompanhamento e controlo dos riscos
Ver resposta
Resposta correta: B
Pergunta #31
Pela primeira vez, o departamento de compras solicitou que o departamento de TI concedesse acesso remoto a fornecedores terceiros. Qual das seguintes opções é a MELHOR forma de atuação para o departamento de TI responder a este pedido?
A. Propor uma solução depois de analisar o risco informático
B. Conceber e implementar controlos-chave de autenticação
C. onceber e implementar um processo de acesso remoto seguro
D. Normas internas adequadas ao novo caso de negócio
Ver resposta
Resposta correta: A
Pergunta #32
Para ajudar a garantir que todos os cenários de risco aplicáveis são incorporados no registo de riscos, é MUITO importante rever o
A. Resultados da avaliação dos riscos
B. Análise custo-benefício
C. Resultados da avaliação da vulnerabilidade
D. Abordagem de atenuação dos riscos
Ver resposta
Resposta correta: A
Pergunta #33
Com qual das seguintes opções é possível obter resultados abrangentes ao efetuar uma análise qualitativa dos riscos?
A. Cenários com ameaças e impactos
B. Análise custo-benefício
C. alor dos activos de informação
D. Avaliação da vulnerabilidade
Ver resposta
Resposta correta: A
Pergunta #34
Um profissional de riscos está a ajudar na preparação de um relatório sobre as capacidades de recuperação de desastres (DR) da organização. Que informações teriam o MAIOR impacto no perfil geral de recuperação?
A. A percentagem de sistemas que cumprem os objectivos de recuperação aumentou
B. O número de sistemas que requerem um plano de recuperação aumentou
C. O número de sistemas testados no último ano aumentou
D. A percentagem de sistemas com tempos-alvo de recuperação longos diminuiu
Ver resposta
Resposta correta: B
Pergunta #35
Qual dos seguintes requisitos comerciais MAIS se relaciona com a necessidade de processos empresariais e de sistemas de informação resilientes?
A. Confidencialidade
B. Eficácia
C. ntegridade
D. Disponibilidade
Ver resposta
Resposta correta: D
Pergunta #36
A principal vantagem de manter um registo de riscos atualizado é que ajuda a:
A. arantir que o risco da unidade de negócio seja distribuído uniformemente
B. riar um perfil de risco para análise pela direção
C. uantificar a apetência pelo risco da organização
D. mplementar controlos uniformes para cenários de risco comuns
Ver resposta
Resposta correta: B
Pergunta #37
Que tipo de política é que uma organização utilizaria para proibir os seus funcionários de utilizarem o correio eletrónico da organização para uso pessoal?
A. Política anti-assédio
B. Política de utilização aceitável
C. Política de propriedade intelectual
D. Política de privacidade
Ver resposta
Resposta correta: B
Pergunta #38
Ao analisar as auto-avaliações dos controlos de TI da gestão, um especialista em riscos detectou um controlo ineficaz que está associado a vários cenários de risco residual baixo. Qual deve ser a próxima linha de ação?
A. Propor controlos atenuantes
B. Avaliar a tolerância ao risco da direção
C. Recomendar à direção que aceite os cenários de baixo risco
D. Reavaliar os cenários de risco associados ao controlo
Ver resposta
Resposta correta: A
Pergunta #39
Você é o gestor de projeto do projeto GHT. Aplicou determinados controlos para evitar alterações não autorizadas no seu projeto. Qual dos seguintes controlos teria aplicado para este fim?
A. Controlo da segurança do pessoal
B. Controlo de acesso
C. Controlo da gestão da configuração
D. Controlo da proteção física e ambiental
Ver resposta
Resposta correta: C
Pergunta #40
Qual dos seguintes é o objetivo PRIMÁRIO da análise dos dados de registo recolhidos dos sistemas?
A. Identificar os riscos que se podem materializar
B. Para facilitar a investigação de incidentes
C. Detetar alterações na propriedade do risco
D. Para evitar incidentes causados pelo risco materializado
Ver resposta
Resposta correta: A
Pergunta #41
Qual dos seguintes é o indicador-chave de desempenho (KPI) MAIS importante a ser estabelecido no contrato de serviço (SLA) para um centro de dados terceirizado?
A. Número de sistemas-chave alojados
B. Percentagem de disponibilidade do sistema
C. Tempo médio de resposta para resolver incidentes de sistema
D. Percentagem de sistemas incluídos nos processos de recuperação
Ver resposta
Resposta correta: B
Pergunta #42
A abordagem MAIS eficaz para dar prioridade aos cenários de risco é a seguinte
A. Avaliação do impacto do plano estratégico
B. olicitar a contribuição de peritos em gestão de riscos
C. Alinhar-se com as melhores práticas do sector
D. Avaliar o custo da resposta ao risco
Ver resposta
Resposta correta: A
Pergunta #43
Qual das seguintes é a forma MAIS eficaz de mitigar os cenários de risco identificados?
A. ocumentar a tolerância ao risco da organização
B. Atribuir a propriedade do plano de resposta aos riscos
C. Sensibilizar para a deteção precoce dos riscos
D. Efetuar auditorias periódicas às áreas de risco identificadas
Ver resposta
Resposta correta: D
Pergunta #44
Suponha que está a trabalhar na Techmart Inc., que vende vários produtos através do seu sítio Web. Devido a algumas perdas recentes, está a tentar identificar os riscos mais importantes para o sítio Web. Com base nos comentários de vários especialistas, elaborou uma lista. Agora, quer dar prioridade a esses riscos. Em que categoria colocaria o risco relativo à modificação do sítio Web por partes não autorizadas?
A. Ataque de inundação de ping
B. Contaminação da Web
C. Ataque de negação de serviço
D. Ataque de retorno de FTP
Ver resposta
Resposta correta: B
Pergunta #45
Você é o gestor de projeto do projeto GHT. Analisou o risco e aplicou os controlos adequados. Como resultado, obteve um risco residual. O risco residual pode ser utilizado para determinar qual das seguintes opções?
A. Questão
B. Resposta de contingência
C. Acionador
D. Limiar
Ver resposta
Resposta correta: CD
Pergunta #46
Está a trabalhar na Bluewell Inc., que cria sítios Web de publicidade. Alguém efectuou alterações não autorizadas no seu sítio Web. Qual dos seguintes termos se refere a este tipo de perda?
A. Perda de confidencialidade
B. Perda de integridade
C. Perda de disponibilidade
D. Perda de receitas
Ver resposta
Resposta correta: B
Pergunta #47
Para um grande projeto de desenvolvimento de software, as avaliações de risco são MAIS eficazes quando realizadas:
A. urante o desenvolvimento do business case
B. m cada fase do SDLC
C. o desenvolvimento do sistema
D. ntes do início do desenvolvimento do sistema
Ver resposta
Resposta correta: B
Pergunta #48
Você é o gestor de projeto do projeto HGT. Encontra-se na primeira fase do processo de resposta ao risco e está a executar as seguintes tarefas:-Comunicar os resultados da análise do risco-Relatar as actividades de gestão do risco e o estado de conformidadeInterpretar as conclusões da avaliação do risco independente-Identificar oportunidades de negócioQual dos seguintes processos está a executar?
A. Articulação do risco
B. Atenuação dos riscos
C. companhamento do risco
D. Risco de comunicação
Ver resposta
Resposta correta: A
Pergunta #49
Está a trabalhar numa empresa. Supondo que a sua empresa compara periodicamente os níveis de inventário de produtos acabados com os inventários permanentes no seu sistema ERP. Que tipo de informação está a ser fornecida pela ausência de diferenças significativas entre os níveis permanentes e os níveis reais?
A. Informação direta
B. Informações indirectas
C. Plano de gestão dos riscos
D. Informações sobre a auditoria de riscos
Ver resposta
Resposta correta: B
Pergunta #50
Como é que as escolhas potenciais das decisões baseadas no risco são representadas na análise da árvore de decisão?
A. Estratégia de gestão das partes interessadas
B. Documentação das lições aprendidas
C. Registo dos riscos
D. Plano de gestão dos riscos
Ver resposta
Resposta correta: D
Pergunta #51
Qual das seguintes é a forma MAIS eficaz de incorporar as preocupações das partes interessadas ao desenvolver cenários de risco?
A. Avaliação do impacto do risco
B. Criação de relatórios trimestrais de risco
C. Estabelecimento de indicadores-chave de desempenho
D. Realização de auditorias internas
Ver resposta
Resposta correta: C
Pergunta #52
Do ponto de vista comercial, qual dos seguintes é o objetivo MAIS importante de um teste de recuperação de desastres?
A. Todos os sistemas críticos para o negócio são testados com sucesso
B. s erros são descobertos no processo de recuperação de desastres
C. odos os dados críticos são recuperados dentro dos objectivos de tempo de recuperação (RTOs)
D. A organização ganha garantias de que pode recuperar de um desastre
Ver resposta
Resposta correta: C
Pergunta #53
Um profissional do risco observou que os proprietários do risco aprovaram um elevado número de excepções à política de segurança da informação. Qual das seguintes opções deve ser a MAIOR preocupação do profissional de riscos?
A. Risco agregado que se aproxima do limiar de tolerância
B. As vulnerabilidades não estão a ser mitigadas
C. As políticas de segurança não estão a ser revistas periodicamente
D. Os proprietários de risco estão a centrar-se mais na eficiência
Ver resposta
Resposta correta: A
Pergunta #54
Qual das seguintes é a prioridade dos proprietários de dados ao estabelecer um método de atenuação do risco?
A. Alterações dos direitos do utilizador
B. Segurança da plataforma
C. Deteção de intrusões
D. Controlos antivírus
Ver resposta
Resposta correta: A
Pergunta #55
Qual das seguintes opções MELHOR ajudaria a proteger as transacções financeiras em linha contra utilizadores indevidos?
A. Autenticação multi-fator
B. Revisão periódica das pistas de auditoria
C. Autorização multinível
D. Revisão das tentativas de início de sessão
Ver resposta
Resposta correta: A
Pergunta #56
Um especialista em riscos determinou que um controlo-chave não corresponde às expectativas de conceção. Qual das seguintes acções deve ser executada SEGUINTE?
A. nvocar o plano de resposta a incidentes
B. Modificar a conceção do controlo
C. ocumentar a constatação no registo de riscos
D. Reavaliar os principais indicadores de risco
Ver resposta
Resposta correta: C
Pergunta #57
Qual das seguintes opções é um exemplo da segunda linha do modelo das três linhas de defesa?
A. Auditores externos
B. Auditores internos
C. Comité de gestão dos riscos
D. Proprietários de risco
Ver resposta
Resposta correta: C
Pergunta #58
A MAIOR preocupação ao manter um registo de riscos é que:
A. A direção executiva não efectua revisões periódicas
B. ão excluídas as alterações significativas dos factores de risco
C. O risco informático não está associado aos activos informáticos
D. s impactos são registados em termos qualitativos
Ver resposta
Resposta correta: B
Pergunta #59
Qual dos seguintes aspectos da ferramenta de monitorização garante que a ferramenta de monitorização tem a capacidade de acompanhar o crescimento de uma empresa?
A. Escalabilidade
B. Personalização
C. ustentabilidade
D. Impacto no desempenho
Ver resposta
Resposta correta: A
Pergunta #60
Qual dos seguintes documentos é descrito na afirmação abaixo? "É desenvolvido juntamente com todos os processos da gestão do risco. Contém os resultados da análise qualitativa do risco, da análise quantitativa do risco e do planeamento da resposta ao risco."
A. Redução da frequência de uma ameaça
B. Minimização do risco inerente
C. Redução do impacto de uma ameaça
D. Minimização do risco residual
Ver resposta
Resposta correta: C
Pergunta #61
Qual dos seguintes termos é descrito na afirmação abaixo? "São os principais indicadores de monitorização da empresa, são altamente relevantes e possuem uma elevada probabilidade de prever ou indicar um risco importante."
A. Principais indicadores de risco
B. ndicadores de desfasamento
C. ndicadores principais
D. Indicadores de risco
Ver resposta
Resposta correta: A
Pergunta #62
Para implementar a monitorização MAIS eficaz dos principais indicadores de risco (KRI), qual das seguintes opções deve ser implementada?
A. Alimentação de dados automatizada
B. Monitorização dos controlos
C. Procedimentos de escalonamento
D. Definição do limiar
Ver resposta
Resposta correta: B
Pergunta #63
Qual dos seguintes elementos actua como acionador do processo de resposta ao risco?
A.
B. Infinito
C. 0
D.
Ver resposta
Resposta correta: B
Pergunta #64
É o diretor de TI da Bluewell Inc. Identificou um novo regulamento para salvaguardar as informações processadas por um tipo específico de transação. Qual seria a PRIMEIRA ação a tomar?
A. valiar se os controlos existentes cumprem o regulamento
B. Atualizar a política de segurança e privacidade existente
C. Reunir-se com as partes interessadas para decidir como cumprir
D. Analisar os principais riscos no processo de conformidade
Ver resposta
Resposta correta: A
Pergunta #65
Qual das seguintes transportadoras deve ser responsável pela recolha de dados sobre o risco e pela sua articulação?
A. Comité de risco da empresa
B. Proprietário do processo empresarial
C. Diretor de informação (CIO)
D. Responsável pelo risco (CRO)
Ver resposta
Resposta correta: D
Pergunta #66
Qual das seguintes competências interpessoais foi identificada como uma das principais razões para o sucesso ou fracasso de um projeto?
A. Motivação
B. Influenciar
C. omunicação
D. Consciência política e cultural
Ver resposta
Resposta correta: C
Pergunta #67
Qual das seguintes opções MELHOR ajudaria a identificar o proprietário de cada cenário de risco num registo de riscos?
A. Atribuir a responsabilidade pelos factores de risco igualmente aos proprietários dos activos
B. Determinar a dependência de recursos dos activos
C. apeamento dos factores de risco identificados para processos empresariais específicos
D. Determinar quais os departamentos que mais contribuem para o risco
Ver resposta
Resposta correta: C
Pergunta #68
Wendy identificou um evento de risco no seu projeto que tem um impacto de $75.000 e uma probabilidade de 60% de acontecer. Através de pesquisa, a sua equipa de projeto descobre que o impacto do risco pode ser reduzido para apenas $15.000 com apenas 10% de hipóteses de ocorrer. A solução proposta custará $25.000. Wendy concorda com a solução de $25.000. Que tipo de resposta ao risco é esta?
A. Mitigação
B. Evitar
C. Transferência
D. Melhorar
Ver resposta
Resposta correta: A
Pergunta #69
Qual dos seguintes processos é descrito na afirmação abaixo? "É o processo de troca de informações e pontos de vista sobre riscos entre as partes interessadas, tais como grupos, indivíduos e instituições."
A. Governação do risco
B. Identificação dos riscos
C. Planeamento da resposta aos riscos
D. Comunicação dos riscos
Ver resposta
Resposta correta: D
Pergunta #70
É o profissional do risco na Bluewell Inc.. Identificou um risco e pretende implementar uma atividade específica de atenuação do risco. O que é que deve utilizar PRIMARIAMENTE?
A. Relatório de avaliação de vulnerabilidades
B. Caso de negócio
C. Relatório de avaliação técnica
D. Requisitos orçamentais
Ver resposta
Resposta correta: B
Pergunta #71
Qual das seguintes é a PRINCIPAL razão para monitorizar continuamente o risco relacionado com as TI?
A. ssegurar que os níveis de risco estão dentro dos limites aceitáveis da apetência pelo risco e da tolerância ao risco da organização
B. Redefinir a apetência pelo risco e os níveis de tolerância ao risco com base em alterações nos factores de risco
C. Ajudar a identificar as causas profundas dos incidentes e recomendar soluções adequadas a longo prazo
D. Atualizar o registo de riscos para refletir as alterações nos níveis dos riscos identificados e dos novos riscos relacionados com as TI
Ver resposta
Resposta correta: A
Pergunta #72
Uma organização acabou de começar a aceitar pagamentos com cartão de crédito dos clientes através do sítio Web da empresa. Qual dos seguintes itens é MAIS provável que aumente como resultado desta nova iniciativa?
A. Apetite pelo risco
B. Risco residual
C. Tolerância ao risco
D. Risco inerente
Ver resposta
Resposta correta: D
Pergunta #73
O proprietário do risco deve ser a pessoa responsável por:
A. Implementação de acções
B. estão dos controlos
C. O processo de gestão do risco
D. processo comercial
Ver resposta
Resposta correta: A
Pergunta #74
Um ambiente de controlo eficaz é MELHOR indicado por controlos que:
A. inimizar a tolerância ao risco dos quadros superiores
B. erir o risco no âmbito da apetência pelo risco da organização
C. ão economicamente viáveis de implementar
D. eduzir os limiares dos indicadores-chave de risco (KRI)
Ver resposta
Resposta correta: D
Pergunta #75
Qual das seguintes opções MELHOR fornece um aviso antecipado de que o acesso à rede dos funcionários despedidos não está a ser revogado de acordo com o acordo de nível de serviço (SLA)?
A. onitorização dos principais indicadores de desempenho do controlo de acesso
B. Atualizar a autenticação multifactor
C. Analisar os registos de controlo de acesso para detetar actividades suspeitas
D. Rever o acordo de nível de serviço (SLA)
Ver resposta
Resposta correta: A
Pergunta #76
A responsabilidade por um determinado risco é MELHOR representada num:
A. egisto de riscos
B. Matriz RACI
C. atálogo de riscos
D. enário de risco
Ver resposta
Resposta correta: B
Pergunta #77
Você é o gestor do projeto RFT. Identificou o risco de o sistema informático e o panorama de aplicações da empresa serem tão complexos que, dentro de alguns anos, será difícil aumentar a capacidade e a manutenção do software tornar-se-á muito dispendiosa. Para ultrapassar este risco, a resposta adoptada é a reformulação da arquitetura do sistema existente e a aquisição de um novo sistema integrado. Em qual das seguintes opções de priorização de riscos este caso seria classificado?
A. Diferimentos
B. anho rápido
C. Caso de negócio a apresentar
D. Risco de contágio
Ver resposta
Resposta correta: C
Pergunta #78
A caraterística MAIS importante das políticas de uma organização é refletir a sua natureza:
A. Apetite pelo risco
B. Capacidades
C. alor do ativo
D. etodologia de avaliação de riscos
Ver resposta
Resposta correta: A
Pergunta #79
Qual das seguintes opções MELHOR mede a eficácia operacional das capacidades de gestão do risco?
A. Modelos de maturidade das capacidades (CMM)
B. Limiares métricos
C. Principais indicadores de risco (KRIs)
D. Indicadores-chave de desempenho (KPIs)
Ver resposta
Resposta correta: D
Pergunta #80
A razão PRIMÁRIA pela qual um profissional de risco estaria interessado num relatório de auditoria interna é a seguinte
A. anter um registo de riscos baseado em não-conformidades
B. lanear programas de sensibilização para gestores de empresas
C. judar no desenvolvimento de um perfil de risco
D. valiar a maturidade do processo de gestão do risco
Ver resposta
Resposta correta: D
Pergunta #81
Uma organização adquiriu um serviço de alojamento gerido e acabou de descobrir que o local é suscetível de ser inundado de 20 em 20 anos. De entre as seguintes pessoas, quem deve ser notificado desta nova informação PRIMEIRO?
A. O proprietário do risco que também é proprietário do serviço comercial possibilitado por esta infraestrutura
B. O diretor do estaleiro que, nos termos do contrato, é obrigado a efetuar avaliações anuais dos riscos
C. O gestor do centro de dados que também está empregado ao abrigo do contrato de serviços de alojamento gerido
D. O diretor de informação (CIO) que é responsável pelos serviços alojados
Ver resposta
Resposta correta: A
Pergunta #82
Você é o gestor de projeto da sua empresa e foi aprovado um novo pedido de alteração para o seu projeto. No entanto, este pedido de mudança introduziu vários novos riscos no projeto. Comunicou estes eventos de risco e as partes interessadas do projeto compreendem os possíveis efeitos que estes riscos podem ter no seu projeto. Optou por criar uma resposta de atenuação para os eventos de risco identificados. Onde irá registar a resposta de mitigação?
A. Registo de riscos
B. Registo de riscos
C. Plano de gestão do projeto
D. Plano de gestão dos riscos
Ver resposta
Resposta correta: A
Pergunta #83
Você é o gestor do projeto GHT. Está a aceder a dados para análise posterior. Optou por um método de extração de dados em que a administração monitoriza os seus próprios controlos. Qual dos seguintes métodos de extração de dados está a utilizar?
A. Extrair dados diretamente dos sistemas de origem após aprovação do proprietário do sistema
B. Extrair dados do guardião do sistema (TI) após a aprovação do proprietário do sistema
C. Extrair dados do registo de riscos
D. Extrair dados do registo de lições aprendidas
Ver resposta
Resposta correta: A
Pergunta #84
Qual dos seguintes deve ser o objetivo PRIMÁRIO de um programa de formação de sensibilização para os riscos?
A. Promover a sensibilização para a função de governação do risco
B. Clarificar os princípios fundamentais da gestão dos riscos
C. Permitir a tomada de decisões com base no risco
D. Para garantir a disponibilidade de recursos suficientes
Ver resposta
Resposta correta: A
Pergunta #85
O MELHOR método para alinhar o plano de continuidade de negócios (BCP) e o plano de recuperação de desastres (DRP) de uma organização com as necessidades essenciais do negócio:
A. xternalizar a manutenção do PCA e do PRD a um terceiro
B. Incluir as responsabilidades do PCA e do PRD como parte da formação dos novos funcionários
C. Executar controlos periódicos do PCA e do PRD
D. tualizar a análise de impacto comercial (BIA) para alterações comerciais significativas
Ver resposta
Resposta correta: C
Pergunta #86
Um centro de processamento de dados opera numa jurisdição onde novos regulamentos aumentaram significativamente as penalizações por violações de dados. Qual dos seguintes elementos do registo de riscos é MAIS importante atualizar para refletir esta alteração?
A. Impacto do risco
B. Tendência do risco
C. Apetite pelo risco
D. Probabilidade de risco
Ver resposta
Resposta correta: C
Pergunta #87
Durante uma reorganização do departamento de TI, o gestor de um plano de ação de mitigação de riscos foi substituído. O novo gestor começou a implementar um novo controlo depois de identificar uma opção mais eficaz. Qual das seguintes opções é a MELHOR linha de ação para o profissional de riscos?
A. Comunicar a decisão ao proprietário do risco para aprovação
B. Identificar um proprietário para o novo controlo
C. odificar o plano de ação no registo de riscos
D. Obter a aprovação do gestor do plano de ação anterior
Ver resposta
Resposta correta: B
Pergunta #88
Jeff trabalha como Gestor de Projectos para a www.company.com Inc. Ele e os membros da sua equipa estão envolvidos no processo de identificação de riscos. Quais das seguintes ferramentas e técnicas Jeff usará no processo de identificação de riscos? Cada resposta correcta representa uma solução completa. (Escolha três.)
A. ary irá programar quando os riscos identificados são susceptíveis de acontecer e afetar o calendário do projeto
B. ary utilizará os controlos do calendário e a natureza do calendário para a análise quantitativa do calendário
C. ary utilizará o plano de gestão do calendário para agendar as reuniões de identificação dos riscos ao longo do restante projeto
D. ary utilizará os controlos do calendário para determinar de que forma os riscos podem ser autorizados a alterar o calendário do projeto
Ver resposta
Resposta correta: ABC
Pergunta #89
A PRIMEIRA tarefa ao desenvolver um plano de continuidade das actividades deve ser:
A. dentificar funções e recursos críticos da empresa
B. eterminar a disponibilidade de backup e recuperação de dados num local alternativo
C. efinir papéis e responsabilidades para a implementação
D. Identificar objectivos de tempo de recuperação (RTO) para aplicações comerciais críticas
Ver resposta
Resposta correta: A
Pergunta #90
Para além do registo do risco, o que deve um profissional do risco analisar para compreender o perfil de risco da organização?
A. O perfil do ativo
B. Objectivos empresariais
C. O catálogo de controlo
D. Principais indicadores de risco (KRIs)
Ver resposta
Resposta correta: D
Pergunta #91
O conselho de controle de mudanças do projeto aprovou várias mudanças de escopo que irão alterar drasticamente o plano do projeto. Você e a equipa do projeto começaram a atualizar o âmbito do projeto, a EAP, o dicionário da EAP, a lista de actividades e o diagrama de rede do projeto. Há também algumas mudanças causadas nos riscos do projeto, na comunicação e nos fornecedores. O que o gerente de projeto também deve atualizar com base nessas alterações de escopo?
A. Dados de transação
B. Integridade do processo
C. Definições de configuração
D. Alterações do sistema
Ver resposta
Resposta correta: C
Pergunta #92
Qual das seguintes leis se aplica a organizações que lidam com informações sobre cuidados de saúde?
A. GLBA
B. IPAA
C. OX
D. ISMA
Ver resposta
Resposta correta: B
Pergunta #93
Você é o gestor de projeto da sua empresa. Introduziu um sistema de deteção de intrusões para o controlo. Identificou um aviso de violação das políticas de segurança da sua empresa. Que tipo de controlo é um sistema de deteção de intrusões (IDS)?
A. Detetive
B. Correctiva
C. Preventivo
D. Recuperação
Ver resposta
Resposta correta: A
Pergunta #94
O que pode ser determinado a partir do gráfico de cenários de risco?
A. Os múltiplos factores de risco abordados por uma resposta escolhida
B. Posições relativas no mapa de risco
C. Capacidade da empresa para implementar
D. pções de tratamento de risco
Ver resposta
Resposta correta: A
Pergunta #95
Quais dos seguintes parâmetros são considerados para a seleção de indicadores de risco? Cada resposta correcta representa uma parte da solução. Escolha três.
A. Aprovação da direção
B. Actividades de sensibilização contínuas
C. Comunicação aos trabalhadores
D. Manutenção e revisão
Ver resposta
Resposta correta: ABD
Pergunta #96
A quantificação do valor de um único ativo ajuda a organização a compreender o seu valor:
A. Necessidade de desenvolver uma estratégia de risco
B. onsequências da materialização do risco
C. imiar de risco da organização
D. ficácia global da gestão de riscos
Ver resposta
Resposta correta: A
Pergunta #97
Qual das seguintes opções é verdadeira para as ameaças? Cada resposta correcta representa uma solução completa. Escolha três.
A. Um limiar mínimo de controlos de segurança da informação que devem ser implementados
B. Uma lista de verificação dos passos que devem ser dados para garantir a segurança da informação
C. Uma declaração global do âmbito e da direção da segurança da informação
D. Uma declaração de boas práticas dependente da tecnologia
Ver resposta
Resposta correta: ABD
Pergunta #98
Qual dos seguintes é o requisito PRIMÁRIO antes de escolher os indicadores-chave de desempenho de uma empresa?
A. eterminar a dimensão e a complexidade da empresa
B. ar prioridade a vários processos empresariais
C. eterminar o tipo de mercado em que a empresa opera
D. A empresa deve estabelecer os seus objectivos estratégicos e operacionais
Ver resposta
Resposta correta: D
Pergunta #99
Você é o gestor de projeto da sua empresa. Identificou vários riscos. Qual das seguintes respostas ao risco é considerada a MAIS adequada?
A. Qualquer uma das anteriores
B. Seguro
C. vitar
D. Aceitar
Ver resposta
Resposta correta: A
Pergunta #100
Trabalha como gestor de projectos para a BlueWell Inc. Recusou um pedido de modificação proposto devido ao risco associado ao pedido de modificação proposto. Onde é que o pedido de alteração recusado deve ser documentado e armazenado?
A. Registo de pedidos de alteração
B. Arquivos do projeto
C. Lições aprendidas
D. Atualização dos documentos do projeto
Ver resposta
Resposta correta: A
Pergunta #101
Qual dos seguintes é o requisito MAIS importante para monitorizar os indicadores-chave de risco (KRI) utilizando a análise de registos?
A. Recolha de registos de todo o conjunto de sistemas informáticos
B. Fornecer registos exactos em tempo útil
C. Implementação de uma ferramenta de análise automática de registos
D. Obter registos num formato facilmente legível
Ver resposta
Resposta correta: A
Pergunta #102
Qual das seguintes opções indica MELHOR a eficácia do programa de prevenção contra perda de dados (DLP) de uma organização?
A. Redução do impacto financeiro associado a incidentes de perda de dados
B. Redução do número de falsos positivos e falsos negativos
C. edução do número de excepções aprovadas à política de DLP
D. Redução da gravidade dos eventos de perda de dados detectados
Ver resposta
Resposta correta: D
Pergunta #103
Ao desenvolver cenários de risco, é MUITO importante garantir que eles sejam:
A. struturado e comunicável
B. lexível e escalável
C. ertinentes e realistas
D. xaustivo e pormenorizado
Ver resposta
Resposta correta: C
Pergunta #104
Um profissional do risco está a organizar uma sessão de formação para comunicar metodologias de avaliação do risco, de modo a garantir uma visão consistente do risco na organização. Qual dos seguintes é o tópico MAIS importante a ser abordado nesta formação?
A. Aplicação de factores de risco
B. Aplicação da apetência pelo risco
C. Compreender a cultura de risco
D. Referência a dados de eventos de risco
Ver resposta
Resposta correta: C
Pergunta #105
Uma organização aumentou a sua apetência pelo risco tecnológico. O resultado MAIS provável seria:
A. Custos de gestão do risco mais baixos
B. iminuição do risco residual
C. Maior custo de gestão do risco
D. umento do risco inerente
Ver resposta
Resposta correta: B
Pergunta #106
Qual das seguintes opções é a parte MAIS crucial do processo de gestão do risco?
A. Comunicação dos riscos
B. Auditoria
C. Controlo dos riscos
D. Atenuação dos riscos
Ver resposta
Resposta correta: A
Pergunta #107
Qual das seguintes é a MELHOR indicação de uma melhor cultura de sensibilização para o risco após a implementação de um programa de formação de sensibilização para a segurança para todos os funcionários?
A. Um aumento do número de falhas identificadas no sistema
B. Uma redução do número de chamadas para o serviço de assistência
C. Um aumento do número de incidentes comunicados
D. Uma redução no número de reinicializações de acesso do utilizador
Ver resposta
Resposta correta: C
Pergunta #108
Qual das seguintes opções forneceria a MELHOR orientação para selecionar um plano de tratamento de risco adequado?
A. Retorno do investimento
B. Orçamento de atenuação dos riscos
C. Análise custo-benefício
D. Análise do impacto nas empresas
Ver resposta
Resposta correta: C
Pergunta #109
Qual das seguintes afirmações é verdadeira para a avaliação de riscos?
A. A avaliação dos riscos só é efectuada quando há uma alteração significativa
B. A avaliação dos riscos é efectuada uma vez por ano para todos os processos empresariais
C. avaliação dos riscos é efectuada anualmente ou quando se verificam alterações significativas
D. A avaliação dos riscos é efectuada de quatro em quatro ou de seis em seis meses para os processos empresariais críticos
Ver resposta
Resposta correta: C
Pergunta #110
Uma organização está a planear adquirir um novo sistema financeiro. Qual das seguintes partes interessadas forneceria as informações MAIS relevantes para analisar o risco associado à nova solução de TI?
A. Proprietário do processo
B. Auditor interno
C. Gestor de riscos
D. Patrocinador do projeto
Ver resposta
Resposta correta: C
Pergunta #111
Quais são os requisitos PRIMÁRIOS para o desenvolvimento de cenários de risco? Cada resposta correcta representa uma parte da solução. Escolha duas.
A. Sistema de controlo das alterações ao contrato
B. Sistema de controlo das alterações do âmbito
C. Sistema de controlo das alterações de custos
D. Sistema de controlo das alterações de calendário
Ver resposta
Resposta correta: AB
Pergunta #112
Qual das seguintes acções deve uma organização realizar para prever os efeitos de uma catástrofe?
A. Analisar as lacunas do modelo de maturidade das capacidades
B. Definir objectivos de tempo de recuperação (RTO)
C. esenvolver uma análise de impacto comercial (BIA)
D. Simular uma recuperação de desastre
Ver resposta
Resposta correta: D
Pergunta #113
Qual dos seguintes dados seria utilizado para efetuar uma análise de impacto comercial (BIA)?
A. Custo da conformidade regulamentar
B. Custos previstos para a recuperação da empresa
C. Análise custo-benefício do funcionamento da empresa atual
D. Impacto projetado da atividade atual na atividade futura
Ver resposta
Resposta correta: B
Pergunta #114
Qual das seguintes opções fornece a MELHOR evidência da eficácia do processo de provisionamento de contas de uma organização?
A. Provisionamento de utilizadores
B. Monitorização do registo de segurança
C. Revisões de direitos
D. Controlos de acesso baseados em funções
Ver resposta
Resposta correta: A
Pergunta #115
É o gestor de projeto do projeto HJT. Os ficheiros confidenciais importantes do seu projeto estão guardados num computador. Tendo em conta o acesso não autorizado a este computador, colocou um CCTV oculto na sala, mesmo tendo uma palavra-passe de proteção. Que tipo de controlo é o CCTV?
A. Controlo técnico
B. Controlo físico
C. Controlo administrativo
D. Controlo de gestão
Ver resposta
Resposta correta: B
Pergunta #116
A MELHOR forma de justificar as acções de atenuação do risco recomendadas numa avaliação do risco seria
A. Concentrar-se nos factores económicos
B. elhores práticas de referência
C. Avaliação comparativa das acções dos concorrentes
D. linhar com os resultados da auditoria
Ver resposta
Resposta correta: A
Pergunta #117
Quais são as MELHORES informações a apresentar aos responsáveis pelo controlo da empresa para justificar os custos relacionados com os controlos?
A. Rendimento dos investimentos relacionados com a segurança informática
B. O orçamento e os resultados do ano anterior
C. Referências e normas do sector
D. Frequência e magnitude do evento de perda
Ver resposta
Resposta correta: D
Pergunta #118
Qual é o valor do fator de exposição se o ativo se perder completamente?
A. Melhorar
B. Positivo
C. Oportunista
D. Explorar
Ver resposta
Resposta correta: A
Pergunta #119
Qual das seguintes opções deve ser a entrada PRIMÁRIA na conceção dos controlos de TI?
A. Relatórios de risco internos e externos
B. Resultados das auto-avaliações dos controlos
C. Referência das normas do sector
D. Recomendações de peritos em riscos informáticos
Ver resposta
Resposta correta: A
Pergunta #120
Qual das seguintes opções deve ser o foco PRIMÁRIO do profissional de risco ao determinar se os controlos são adequados para mitigar o risco?
A. Análise custo-benefício
B. Análise de sensibilidade
C. Nível de risco residual
D. Apetite pelo risco
Ver resposta
Resposta correta: D
Pergunta #121
Como parte de um plano global de gestão dos riscos informáticos, um registo de riscos informáticos BEST ajuda a gestão:
A. star a par do estado do controlo existente
B. linhar os processos de TI com os objectivos comerciais
C. ompreender o perfil de risco da organização
D. omunicar a política de gestão de riscos da empresa
Ver resposta
Resposta correta: A
Pergunta #122
Ao analisar um plano de continuidade das actividades (PCN), qual das seguintes seria a deficiência MAIS significativa?
A. O PCA é frequentemente testado através do método de "walkthrough
B. O teste do PCN não é efectuado em conjunto com o plano de recuperação de desastres (PRD)
C. Cada local de atividade tem PCAs separados e inconsistentes
D. Os objectivos de tempo de recuperação (RTOs) não satisfazem os requisitos comerciais
Ver resposta
Resposta correta: B
Pergunta #123
Qual das seguintes actividades MELHOR facilitaria a gestão eficaz do risco em toda a organização?
A. Efetuar uma análise do impacto nas empresas
B. Realização de auditorias frequentes
C. Revisão da documentação do processo relacionado com o risco
D. Realização de avaliações de risco periódicas
Ver resposta
Resposta correta: A
Pergunta #124
Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para medir a eficácia de um plano de recuperação de desastres (DRP)?
A. Percentagem de problemas relacionados com os ensaios DRP
B. Número de utilizadores que participaram nos ensaios DRP
C. Número de questões identificadas durante os ensaios do PRD
D. Percentagem de aplicações que cumpriram o RTO durante o teste DRP
Ver resposta
Resposta correta: D
Pergunta #125
Qual dos seguintes elementos é preparado pela empresa e serve de ponto de partida para a elaboração da Estratégia de Continuidade dos Serviços de TI?
A. Estratégia de continuidade das actividades
B. Índice de informações relevantes para as catástrofes
C. irectrizes para a invocação de catástrofes
D. Disponibilidade / ITSCM / Calendário de testes de segurança
Ver resposta
Resposta correta: A
Pergunta #126
Quais das seguintes respostas ao risco incluem feedback e orientação de responsáveis pelo risco bem qualificados e de pessoas internas ao projeto?
A. Estratégia de resposta contingente
B. Aceitação dos riscos
C. Parecer de peritos
D. Transferência de riscos
Ver resposta
Resposta correta: C
Pergunta #127
A sua empresa está coberta por uma apólice de seguro de responsabilidade civil, que oferece várias coberturas de responsabilidade para riscos de segurança da informação, incluindo quaisquer danos físicos de activos, ataques de hackers, etc. Qual das seguintes técnicas de gestão de riscos é utilizada pela sua empresa?
A. nvolver peritos na matéria nas actividades de análise de riscos
B. Envolver as partes interessadas na identificação dos riscos apenas nas fases em que o projeto as afecta diretamente
C. tilizar a análise qualitativa do risco para avaliar rapidamente a probabilidade e o impacto dos eventos de risco
D. Concentrar-se nos riscos de alta prioridade através de uma análise qualitativa dos riscos
Ver resposta
Resposta correta: A
Pergunta #128
Trabalha como gestor de projectos para a BlueWell Inc. Recusou um pedido de modificação proposto devido ao risco associado ao pedido de modificação proposto. Onde é que o pedido de alteração recusado deve ser documentado e armazenado?
A. Registo de pedidos de alteração
B. Arquivos do projeto
C. Lições aprendidas
D. Atualização dos documentos do projeto
Ver resposta
Resposta correta: A
Pergunta #129
Uma organização está a planear contratar um fornecedor de serviços baseado na nuvem para alguns dos seus processos empresariais com grande volume de dados. Qual das seguintes opções é a MAIS importante para ajudar a definir o risco de TI associado a esta atividade de externalização?
A. Acordo de nível de serviço
B. Direito de controlo do prestador
C. Avaliações do serviço ao cliente
D. Âmbito dos serviços prestados
Ver resposta
Resposta correta: A
Pergunta #130
Qual das seguintes opções deve ser a consideração MAIS importante ao determinar os controlos necessários para um sistema de informação altamente crítico?
A. O número de vulnerabilidades do sistema
B. O nível de risco aceitável para a organização
C. O orçamento disponível da organização
D. O número de ameaças ao sistema
Ver resposta
Resposta correta: A
Pergunta #131
Uma avaliação de risco identificou que uma organização pode não estar em conformidade com os regulamentos do sector. O MELHOR curso de ação seria:
A. olaborar com a direção para cumprir os requisitos de conformidade
B. fetuar uma análise das lacunas em relação aos critérios de conformidade
C. dentificar os controlos necessários para garantir a conformidade
D. odificar as actividades de garantia interna para incluir a validação dos controlos
Ver resposta
Resposta correta: A
Pergunta #132
Quando se diz que um determinado instrumento de controlo ou de acompanhamento é sustentável, isso refere-se a que capacidade?
A. A capacidade de adaptação à medida que novos elementos são adicionados ao ambiente
B. A capacidade de garantir que o controlo se mantém em vigor quando falha
C. A capacidade de se proteger de exploração ou ataque
D. A capacidade de ser aplicado da mesma forma em toda a organização
Ver resposta
Resposta correta: A
Pergunta #133
Qual das seguintes deve ser a PRÓXIMA ação de um profissional de riscos após identificar uma elevada probabilidade de perda de dados num sistema?
A. Efetuar uma avaliação do controlo
B. Adquirir um seguro cibernético junto de um terceiro
C. umentar a frequência da comunicação de incidentes
D. Melhorar o programa de sensibilização para a segurança
Ver resposta
Resposta correta: A
Pergunta #134
Qual das seguintes afirmações é verdadeira para o nível 3 de maturidade da capacidade de gestão de riscos da empresa?
A. Gestão de empresas
B. Proprietário do processo empresarial
C. Diretor de informação (CIO)
D. Responsável pelo risco (CRO)
Ver resposta
Resposta correta: ABD
Pergunta #135
O João é o gestor de projeto do projeto NHQ da sua empresa. O seu projeto tem 75 partes interessadas, algumas das quais são externas à organização. O João precisa de se certificar de que comunica sobre os riscos da forma mais adequada às partes interessadas externas. Que plano de gestão do projeto será o melhor guia para o João comunicar às partes interessadas externas?
A. Plano de resposta aos riscos
B. Plano de gestão das comunicações
C. Plano de gestão do projeto
D. Plano de gestão dos riscos
Ver resposta
Resposta correta: B
Pergunta #136
Uma organização subcontratou o seu processo de pagamento de alugueres a um prestador de serviços que não possui provas de conformidade com uma norma regulamentar necessária. Que tratamento do risco foi adotado pela organização?
A. Aceitação
B. ransferência
C. Mitigação
D. Evitar
Ver resposta
Resposta correta: A
Pergunta #137
Os empregados são repetidamente vistos a segurar a porta aberta para os outros, para que os empregados que os seguem não tenham de parar e passar os seus próprios cartões de identificação. Este comportamento representa o MELHOR:
A. vulnerabilidade
B. m controlo
C. m impacto
D. ma ameaça
Ver resposta
Resposta correta: A
Pergunta #138
Qual das seguintes opções é a MAIS importante para o desenvolvimento de indicadores-chave de risco (KRIs)?
A. Disponibilidade de dados qualitativos
B. Alinhamento com os requisitos regulamentares
C. imiares do conjunto de propriedades
D. Alinhamento com os padrões de referência do sector
Ver resposta
Resposta correta: B
Pergunta #139
Qual das seguintes questões relacionadas com o plano de resposta a incidentes de TI de uma organização constituiria a MAIOR preocupação?
A. A capacidade de resposta a incidentes é externalizada
B. As equipas não estão operacionais até que ocorra um incidente
C. em todos os funcionários participaram na formação de resposta a incidentes
D. As funções e responsabilidades não estão claramente definidas
Ver resposta
Resposta correta: D
Pergunta #140
Qual é a vantagem mais importante da classificação dos activos de informação?
A. Ligação dos requisitos de segurança aos objectivos comerciais
B. Atribuição da propriedade do risco
C. Definição dos direitos de acesso
D. Identificar os controlos que devem ser aplicados
Ver resposta
Resposta correta: D
Pergunta #141
Ao analisar uma estratégia de resposta aos riscos, a atenção da direção deve centrar-se PRIMARIAMENTE nos seguintes aspectos
A. Carteira de investimentos
B. Alinhamento com a apetência pelo risco
C. Indicadores-chave de desempenho (KPIs)
D. Análise custo-benefício
Ver resposta
Resposta correta: D
Pergunta #142
Qual é a necessidade PRIMÁRIA para avaliar eficazmente os controlos?
A. linhamento do controlo com o ambiente operacional
B. Eficácia da conceção do controlo
C. Realização dos objectivos do controlo
D. Eficácia operacional do controlo
Ver resposta
Resposta correta: C
Pergunta #143
É o gestor de projeto do projeto GHY da sua empresa. Este projeto tem um orçamento de 543.000 dólares e tem uma duração prevista de 18 meses. Neste projeto, identificou vários eventos de risco e criou planos de resposta aos riscos. Em que grupo de processos de gestão de projectos irá implementar os planos de resposta aos riscos?
A. Resposta aos riscos
B. Acompanhamento e controlo dos riscos
C. Avaliação quantitativa dos riscos
D. Avaliação qualitativa dos riscos
Ver resposta
Resposta correta: A
Pergunta #144
Qual dos seguintes é o MELHOR indicador-chave de desempenho (KPI) para medir a eficácia de um programa antivírus?
A. Frequência das actualizações do software antivírus
B. Número de alertas gerados pelo software antivírus
C. ercentagem de activos informáticos com definições de malware actuais
D. Número de falsos positivos detectados durante um período de tempo
Ver resposta
Resposta correta: C
Pergunta #145
Qual das seguintes opções é a MAIS eficaz para a melhoria contínua do processo de gestão do risco?
A. Actualizações de políticas
B. Avaliações periódicas
C. Formação de sensibilização
D. Gestão da mudança
Ver resposta
Resposta correta: B
Pergunta #146
O diretor de tecnologia (CTO) de uma organização decidiu aceitar o risco associado à perda potencial de um ataque de negação de serviço (DoS). Nesta situação, o melhor curso de ação do profissional de risco é
A. alidar a decisão do CTO que o proprietário do processo empresarial deseja
B. ecomendar que o CTO reveja a decisão de aceitação do risco
C. Identificar os principais indicadores de risco (KRI) para acompanhamento contínuo
D. tualizar o registo de riscos com a resposta ao risco selecionada
Ver resposta
Resposta correta: A
Pergunta #147
Qual das alternativas a seguir é verdadeira para Expectativa de perda única (SLE), Taxa anual de ocorrência (ARO) e Expectativa de perda anual (ALE)?
A. LE= ARO/SLE
B. RO= SLE/ALE
C. RO= ALE*SLE
D. LE= ARO*SLE
Ver resposta
Resposta correta: D
Pergunta #148
O MELHOR critério para selecionar uma resposta ao risco é o seguinte
A. Eficácia das opções de resposta ao risco
B. linhamento da resposta com as normas do sector
C. Importância do risco informático na empresa
D. apacidade de implementar a resposta
Ver resposta
Resposta correta: A
Pergunta #149
Qual dos seguintes é o MELHOR método para identificar controlos desnecessários?
A. Avaliação dos controlos existentes em função dos requisitos de auditoria
B. Rever as funcionalidades do sistema associadas aos processos empresariais
C. companhamento dos indicadores-chave de risco (KRI) existentes
D. Avaliação do impacto da supressão dos controlos existentes
Ver resposta
Resposta correta: B
Pergunta #150
A melhor maneira de testar a eficácia operacional de um procedimento de backup de dados é:
A. nspecionar uma seleção de pistas de auditoria e registos de cópia de segurança
B. ealizar uma auditoria aos ficheiros armazenados fora do local
C. emonstrar uma recuperação bem sucedida a partir de ficheiros de cópia de segurança
D. ntrevistar os empregados para comparar os procedimentos actuais com os previstos
Ver resposta
Resposta correta: C
Pergunta #151
Qual das seguintes opções DEVE ser avaliada antes de considerar as opções de tratamento do risco para um cenário com impacto significativo?
A. Análise custo-benefício
B. robabilidade de indentação
C. Magnitude do risco
D. Apetite pelo risco
Ver resposta
Resposta correta: C
Pergunta #152
O Fred é o gestor de projeto de um grande projeto na sua organização. O Fred precisa de começar a planear o plano de gestão do risco com a equipa do projeto e as principais partes interessadas. Que ferramenta e técnica do processo de gestão do risco do plano deve o Fred utilizar para planear a gestão do risco?
A. Técnicas de recolha de informações
B. Técnicas de recolha e representação de dados
C. Reuniões de planeamento e análise
D. Análise de desvios e tendências
Ver resposta
Resposta correta: C
Pergunta #153
A implementação de qual das seguintes opções MELHOR ajudará a garantir que os sistemas estejam em conformidade com uma linha de base estabelecida antes da implantação?
A. Monitorização e alerta contínuos
B. Controlos de acesso e registo ativo
C. Gestão da configuração
D. Verificação de vulnerabilidades
Ver resposta
Resposta correta: A
Pergunta #154
Qual das seguintes é a forma de verificar a eficácia do controlo?
A. A capacidade de fornecer notificação de falha
B. Quer se trate de prevenção ou de deteção
C. A sua fiabilidade
D. Os resultados dos testes dos objectivos pretendidos
Ver resposta
Resposta correta: D
Pergunta #155
Uma organização mudou o seu sistema de processamento de salários para uma aplicação de Software como Serviço (SaaS). Um novo regulamento de privacidade de dados estipula que os dados só podem ser processados no país onde são recolhidos. Qual das seguintes acções deve ser realizada PRIMEIRO ao abordar esta situação?
A. Analisar os métodos de proteção de dados
B. Compreender os fluxos de dados
C. Incluir uma cláusula de direito a auditoria
D. Implementar controlos de acesso rigorosos
Ver resposta
Resposta correta: B
Pergunta #156
É o gestor de projeto da Bluewell Inc. O seu projeto tem vários riscos que irão afetar os requisitos de várias partes interessadas. Que plano de gestão do projeto definirá quem estará disponível para partilhar informações sobre os riscos do projeto?
A. Plano de gestão dos riscos
B. Estratégia de gestão das partes interessadas
C. Plano de gestão das comunicações
D. Plano de gestão dos recursos
Ver resposta
Resposta correta: C
Pergunta #157
Você é o gestor de projeto do projeto GHT. Identificou um evento de risco no seu projeto que, se ocorrer, pode poupar $100.000 em custos de projeto. Qual das seguintes afirmações descreve MELHOR este evento de risco?
A. Este evento de risco deve ser atenuado para tirar partido das poupanças
B. Trata-se de um evento de risco que deve ser aceite porque as recompensas superam a ameaça ao projeto
C. Este evento de risco deve ser evitado para tirar o máximo partido das potenciais poupanças
D. Este evento de risco é uma oportunidade para o projeto e deve ser explorado
Ver resposta
Resposta correta: D
Pergunta #158
Uma organização utiliza um fornecedor para destruir discos rígidos. Qual das seguintes opções MELHOR reduziria o risco de fuga de dados?
A. Implementar uma política de encriptação para os discos rígidos
B. Exigir que o fornecedor efectue a desmagnetização dos discos rígidos
C. Utilizar um fornecedor acreditado para eliminar os discos rígidos
D. Exigir a confirmação da destruição pelo gestor de TI
Ver resposta
Resposta correta: D
Pergunta #159
Qual das seguintes opções seria a MAIS importante para um especialista em riscos fornecer ao departamento de auditoria interna durante o processo de planeamento da auditoria?
A. Planos de ação de gestão encerrados da auditoria anterior
B. Resultados da avaliação anual dos riscos
C. Um relatório atualizado de gestão das vulnerabilidades
D. Uma lista de cenários de risco genéricos identificados
Ver resposta
Resposta correta: B
Pergunta #160
A Maria é a gestora de projeto do projeto BLB. Ela deu instruções à equipa do projeto para se reunir e analisar os riscos. Incluiu o plano de gestão do calendário como um contributo para o processo de análise quantitativa dos riscos. Porque é que o plano de gestão do calendário é necessário para a análise quantitativa dos riscos?
A. Controlo dissuasor
B. Controlo dos detectives
C. Controlo da compensação
D. Controlo preventivo
Ver resposta
Resposta correta: B
Pergunta #161
A principal razão para criar e manter um registo de riscos é a seguinte
A. er em conta os principais factores de risco identificados
B. ssegurar que os activos têm um risco residual baixo
C. efinir a metodologia de avaliação dos riscos
D. valiar a eficácia de diferentes projectos
Ver resposta
Resposta correta: A
Pergunta #162
Quais das seguintes funções são responsáveis pela criação do processo de governação do risco, pelo estabelecimento e manutenção de uma visão comum do risco, pela tomada de decisões empresariais conscientes do risco e pela definição da cultura de risco da empresa? Escolha duas.
A. Prevenção de riscos
B. Transferência de riscos
C. Aceitação dos riscos
D. Atenuação dos riscos
Ver resposta
Resposta correta: AD
Pergunta #163
Qual das seguintes é a causa principal do risco do projeto? Cada resposta correcta representa uma solução completa. Escolha duas.
A. Actualizações do plano de gestão do projeto
B. Um processo organizacional de actualizações de activos
C. Pedidos de alteração
D. Atualização dos documentos do projeto
Ver resposta
Resposta correta: CD
Pergunta #164
Qual dos seguintes atributos de um indicador-chave de risco (KRI) é o MAIS importante?
A. Repetível
B. Qualitativa
C. utomatizado
D. Quantitativo
Ver resposta
Resposta correta: D
Pergunta #165
Existem quatro entradas para o processo de Monitorização e Controlo dos Riscos do Projeto. Qual das seguintes entradas NÃO o ajudará, enquanto gestor de projeto, a preparar-se para a monitorização e controlo dos riscos?
A. Registo de riscos
B. Informações sobre o desempenho profissional
C. Plano de gestão do projeto
D. Pedidos de alteração
Ver resposta
Resposta correta: D
Pergunta #166
Qual das seguintes opções é a consideração MAIS importante ao selecionar indicadores-chave de risco (KRIs) para monitorizar as tendências de risco ao longo do tempo?
A. Capacidade de prever tendências
B. isponibilidade permanente de dados
C. Disponibilidade de sistemas de informação automatizados
D. Capacidade de agregar dados
Ver resposta
Resposta correta: D
Pergunta #167
Qual das seguintes opções é MAIS importante incluir nas actualizações regulamentares e de risco quando um novo requisito legal afecta a organização?
A. Limiares recomendados para os indicadores-chave de risco (KRI)
B. Custo das mudanças nos processos críticos da empresa
C. Risco associado ao incumprimento
D. Prazo para remediar o risco de não conformidade
Ver resposta
Resposta correta: C
Pergunta #168
A aceitação de custos de controlo que excedem a exposição ao risco é, muito provavelmente, um exemplo disso:
A. Alinhamento da cultura empresarial
B. esalinhamento da cultura empresarial
C. aixa tolerância ao risco
D. levada tolerância ao risco
Ver resposta
Resposta correta: C
Pergunta #169
Qual das seguintes afirmações descreve MELHOR a apetência pelo risco?
A. Variação aceitável entre os limiares de risco e os objectivos da empresa
B. A quantidade de risco que uma organização está disposta a aceitar
C. A gestão eficaz dos riscos e dos ambientes de controlo interno
D. A variação aceitável em relação à realização dos objectivos
Ver resposta
Resposta correta: B
Pergunta #170
Qual das seguintes opções é a MAIS relevante para o perfil de risco de uma organização?
A. Avaliação de risco da auditoria externa
B. Autoavaliação dos riscos pela direção
C. Avaliação dos riscos pela auditoria interna
D. Avaliação da vulnerabilidade da segurança da informação
Ver resposta
Resposta correta: A
Pergunta #171
Qual das seguintes ferramentas é MAIS útil para mapear os resultados da gestão de riscos de TI para os objectivos organizacionais?
A. Painel de controlo dos riscos
B. Gráfico RACI
C. Mapa de riscos de segurança da informação
D. Plano estratégico de negócios
Ver resposta
Resposta correta: D
Pergunta #172
Qual das seguintes opções seria a MELHOR para alertar precocemente para uma situação de alto risco?
A. Avaliação dos riscos
B. Indicador-chave de risco (KRI)
C. Registo dos riscos
D. Indicador-chave de desempenho (KPI)
Ver resposta
Resposta correta: B
Pergunta #173
Qual das seguintes opções fornece a MELHOR medida do nível de maturidade da gestão de riscos de uma organização?
A. Alinhamento das TI com os objectivos empresariais
B. Nível de risco residual
C. Principais indicadores de risco (KRIs)
D. Os resultados de uma análise das lacunas
Ver resposta
Resposta correta: A
Pergunta #174
Trabalha como gestor de projectos para a BlueWell Inc. Está a preparar o processo de identificação de riscos. Terá de envolver várias das principais partes interessadas do projeto para o ajudar a identificar e comunicar os eventos de risco identificados. Também vai precisar de vários documentos para o ajudar a si e às partes interessadas a identificar os eventos de risco. Qual dos seguintes documentos NÃO é um documento que o ajudará a identificar e a comunicar os riscos no âmbito do projeto?
A. Registos das partes interessadas
B. Estimativas da duração da atividade
C. Estimativas do custo da atividade
D. Registo de riscos
Ver resposta
Resposta correta: D
Pergunta #175
Você e a sua equipa de projeto estão a identificar os riscos que podem existir no seu projeto. Alguns dos riscos são pequenos riscos que não afectarão muito o seu projeto se acontecerem. O que deve fazer com estes eventos de risco identificados?
A. Estes riscos podem ser afastados
B. Estes riscos podem ser aceites
C. Estes riscos podem ser acrescentados a uma lista de riscos de baixa prioridade
D. Todos os riscos devem ter uma resposta ao risco válida e documentada
Ver resposta
Resposta correta: C
Pergunta #176
É o gestor de projeto do projeto HGT na Bluewell Inc. O projeto tem um ativo avaliado em $125.000 e está sujeito a um fator de exposição de 25 por cento. Qual será a expetativa de perda única deste projeto?
A. 125,025
B. 31,250
C. 5,000
D. 3,125,000
Ver resposta
Resposta correta: B
Pergunta #177
Em uma organização com um programa de gerenciamento de risco maduro, qual das seguintes opções forneceria a MELHOR evidência de que o perfil de risco de TI está atualizado?
A. Questionário de risco
B. Registo dos riscos
C. Manual de conformidade
D. Afirmação de gestão
Ver resposta
Resposta correta: B
Pergunta #178
Você é o gestor do projeto GHY da sua organização. Está a trabalhar com a sua equipa de projeto para começar a identificar os riscos do projeto. Como parte da sua preparação para identificar os riscos no âmbito do projeto, irá precisar de onze entradas para o processo. Qual das seguintes opções NÃO é uma entrada para o processo de identificação de riscos?
A. Plano de gestão da qualidade
B. Registo das partes interessadas
C. Plano de gestão dos custos
D. Plano de gestão das aquisições
Ver resposta
Resposta correta: D
Pergunta #179
O Ben é o gestor de projeto do projeto CMH da sua organização. Ele identificou um risco que tem uma baixa probabilidade de acontecer, mas o impacto do evento de risco poderia salvar o projeto e a organização com uma quantidade significativa de capital. Ben atribui a Laura o evento de risco e instrui-a a pesquisar o tempo, o custo e o método para melhorar a probabilidade do evento de risco positivo. De seguida, o Ben comunica o evento de risco e a resposta à gestão. Que resposta ao risco foi utilizada aqui?
A. Transferência
B. Melhorar
C. Explorar
D. Partilhar
Ver resposta
Resposta correta: B
Pergunta #180
Qual das seguintes é a primeira etapa MAIS importante no processo de avaliação de riscos?
A. Identificação dos activos
B. Identificação de ameaças
C. Identificação das fontes de ameaça
D. Identificação de vulnerabilidades
Ver resposta
Resposta correta: A
Pergunta #181
O benefício PRIMÁRIO associado aos indicadores-chave de risco (KRIs) é que eles:
A. dentificar tendências nas vulnerabilidades da organização
B. assegurar o acompanhamento permanente dos riscos emergentes
C. judar uma organização a identificar ameaças emergentes
D. valiar o perfil de risco da organização
Ver resposta
Resposta correta: C
Pergunta #182
Você é o gestor de projeto do projeto HFD. Identificou vários riscos do projeto. Adoptou alternativas para lidar com estes riscos que não tentam reduzir a probabilidade de um evento de risco ou os seus impactos. Qual das seguintes respostas implementou?
A. Aceitação
B. Mitigação
C. Evitar
D. Resposta contingente
Ver resposta
Resposta correta: D
Pergunta #183
O seu projeto tem vários riscos que podem causar um impacto financeiro grave se ocorrerem. Estudou os eventos de risco e elaborou algumas respostas potenciais para os eventos de risco, mas a administração quer que faça mais. Gostariam que criasse um tipo de gráfico que identificasse a probabilidade e o impacto do risco com um montante financeiro para cada evento de risco. Qual é o resultado provável da criação deste tipo de gráfico?
A. Plano de resposta aos riscos
B. Reserva para imprevistos
C. Resposta aos riscos
D. Análise quantitativa
Ver resposta
Resposta correta: B
Pergunta #184
Qual das seguintes é a consideração MAIS importante ao desenvolver a taxonomia de risco de uma organização?
A. Estratégia de TI
B. Quadros de referência do sector
C. Contexto empresarial
D. Requisitos regulamentares
Ver resposta
Resposta correta: C
Pergunta #185
A MELHOR maneira de determinar a probabilidade de um cenário de risco de disponibilidade do sistema é avaliar o:
A. Disponibilidade de software tolerante a falhas
B. lano estratégico para o crescimento da empresa
C. Resultados da análise de vulnerabilidades dos sistemas críticos
D. redundância da infraestrutura técnica
Ver resposta
Resposta correta: D
Pergunta #186
Qual das seguintes situações resultaria MAIS provavelmente em actualizações de uma declaração de apetência pelo risco informático?
A. Mudanças nos quadros superiores
B. Conclusões da auditoria externa
C. Reacções dos grupos de discussão
D. Relatórios de autoavaliação
Ver resposta
Resposta correta: B
Pergunta #187
Qual dos seguintes nós da árvore de decisão tem probabilidade associada aos seus ramos?
A. Nó de raiz
B. Nó de evento
C. Nó final
D. Nó de decisão
Ver resposta
Resposta correta: B
Pergunta #188
Um profissional de risco identificou que o centro de dados secundário da organização não fornece redundância para uma aplicação crítica. Quem deve ter a autoridade para aceitar o risco associado?
A. Diretor de continuidade das actividades
B. Proprietário da aplicação comercial
C. Gestor de recuperação de desastres
D. Gestor do centro de dados
Ver resposta
Resposta correta: B
Pergunta #189
O que deve fazer um profissional do risco se for identificado um controlo-chave ineficaz num sistema crítico?
A. Revalidar a avaliação dos riscos
B. Encaminhar para os quadros superiores
C. Propor a aceitação do risco
D. Efetuar uma análise das lacunas
Ver resposta
Resposta correta: D
Pergunta #190
Quais dos seguintes activos são exemplos de activos intangíveis de uma empresa? Cada resposta correcta representa uma solução completa. Escolha duas.
A. Acompanhamento e controlo
B. Em qualquer grupo de processos em que o acontecimento de risco resida
C. laneamento
D. Executando
Ver resposta
Resposta correta: AB
Pergunta #191
Qual das seguintes opções é MAIS importante incluir ao identificar cenários de risco para inclusão numa análise de risco de um prestador de serviços externo?
A. Problemas de fornecedores em aberto
B. Acordos de compra
C. Questionários aos fornecedores
D. Mapeamento de processos
Ver resposta
Resposta correta: D
Pergunta #192
Qual das seguintes opções é a MELHOR forma de garantir que os factores de risco da segurança da informação são atenuados durante o desenvolvimento de aplicações internas?
A. ncluir especificações de controlo da segurança da informação nos casos de negócio
B. dentificar indicadores-chave de risco (KRIs) como resultado do processo
C. dentificar os controlos de segurança da informação na análise dos requisitos
D. Conceber indicadores-chave de desempenho (KPI) para a segurança nas especificações do sistema
Ver resposta
Resposta correta: C
Pergunta #193
O cálculo do objetivo de tempo de recuperação (RTO) é necessário para determinar o tempo de recuperação:
A. Expectativa de perda anual (ALE)
B. prioridade do restauro
C. onto de sincronização
D. empo necessário para restaurar ficheiros
Ver resposta
Resposta correta: D
Pergunta #194
O mapeamento das questões de risco em aberto num mapa de calor de risco da empresa facilita o BEST:
A. ropriedade do risco
B. dentificação de riscos
C. esposta ao risco
D. onitorização do controlo
Ver resposta
Resposta correta: B
Pergunta #195
Qual dos seguintes controlos NÃO se insere na classe técnica de controlo?
A. Controlo da gestão do programa
B. Controlo da proteção dos sistemas e das comunicações
C. Controlo da identificação e da autenticação
D. Controlo de acesso
Ver resposta
Resposta correta: A
Pergunta #196
Ao comunicar os resultados da avaliação do risco à direção, qual das seguintes opções é MAIS importante incluir para permitir a tomada de decisões com base no risco?
A. Uma lista dos activos expostos ao risco mais elevado
B. Perdas potenciais em relação ao custo do tratamento
C. Resultados recentes da auditoria e da autoavaliação
D. Planos de ação em matéria de riscos e respectivos proprietários
Ver resposta
Resposta correta: B
Pergunta #197
Depois de identificar novos eventos de risco durante um projeto, o passo seguinte do gestor de projeto deve ser
A. Prosseguir com uma análise quantitativa dos riscos
B. eterminar se os cenários devem ser aceites ou respondidos
C. rosseguir com uma análise qualitativa dos riscos
D. Registar os cenários no registo de riscos
Ver resposta
Resposta correta: A
Pergunta #198
Qual das seguintes é uma técnica que fornece uma descrição sistemática da combinação de ocorrências indesejadas num sistema?
A. Análise de sensibilidade
B. Análise de cenários
C. Análise da árvore de falhas
D. Análise de causa e efeito
Ver resposta
Resposta correta: C
Pergunta #199
É o responsável pelo risco da sua empresa. Acabou de concluir o processo de análise de risco. Verificou que o nível de risco associado ao seu projeto é inferior ao nível de tolerância ao risco da sua empresa. Qual das seguintes é a ação MAIS provável que deve tomar?
A. plicar a resposta ao risco
B. tualizar o registo dos riscos
C. em ação
D. ar prioridade às opções de resposta ao risco
Ver resposta
Resposta correta: C
Pergunta #200
Trabalha como gestor de projeto na empresa Inc. O projeto em que está a trabalhar tem vários riscos que irão afetar os requisitos de várias partes interessadas. Que plano de gestão de projectos definirá quem estará disponível para partilhar informações sobre os riscos do projeto?
A. Plano de gestão dos recursos
B. Plano de gestão das comunicações
C. Plano de gestão dos riscos
D. Estratégia de gestão das partes interessadas
Ver resposta
Resposta correta: B
Pergunta #201
Qual das seguintes fases está envolvida na extração, validação, agregação e análise de dados?
A. Resposta aos riscos e controlo dos riscos
B. Recolha de requisitos, acesso aos dados, validação dos dados, análise dos dados, relatórios e acções correctivas
C. Acesso aos dados e validação dos dados
D. Identificação do risco, avaliação do risco, resposta ao risco e monitorização do risco
Ver resposta
Resposta correta: B
Pergunta #202
Qual das seguintes é a consideração MAIS importante para um profissional de risco ao fazer uma recomendação de implementação de um sistema?
A. Disponibilidade de recursos internos
B. Exaustividade da documentação do sistema
C. Desvios entre o custo planeado e o custo real
D. Resultados dos testes de aceitação do utilizador final
Ver resposta
Resposta correta: B
Pergunta #203
Qual das seguintes ferramentas é MAIS eficaz na identificação de tendências no perfil de risco de TI?
A. Painel de controlo dos riscos
B. Registo dos riscos
C. Autoavaliação dos riscos
D. Mapa de risco
Ver resposta
Resposta correta: D
Pergunta #204
Qual é a principal razão para rever periodicamente os indicadores-chave de desempenho (KPI)?
A. Identificar tendências
B. Otimizar os recursos necessários para os controlos
C. ssegurar o cumprimento
D. Promover uma cultura consciente dos riscos
Ver resposta
Resposta correta: B
Pergunta #205
Qual das seguintes opções é o MELHOR indicador de um programa eficaz de sensibilização para a segurança das TI?
A. Diminuição da taxa de sucesso dos testes internos de phishing
B. Número de trabalhadores que concluem a formação em matéria de segurança
C. Número de acções disciplinares aplicadas por violações da segurança
D. Diminuição do número de incidentes de segurança comunicados
Ver resposta
Resposta correta: D
Pergunta #206
Um membro da equipa de projeto acabou de identificar um novo risco de projeto. O evento de risco está determinado a ter um impacto significativo, mas uma probabilidade baixa no projeto. Se o evento de risco se concretizar, o projeto sofrerá um atraso de três semanas, o que provocará um novo risco no projeto. O que deve o gestor de projeto fazer com o evento de risco?
A. dicionar o risco identificado a um gráfico de gestão do controlo de qualidade
B. Acrescentar o risco identificado ao registo de questões
C. crescentar o risco identificado ao registo de riscos
D. crescentar o risco identificado à lista de observação de riscos de baixo nível
Ver resposta
Resposta correta: C
Pergunta #207
Qual das seguintes é a fonte de dados MAIS importante para monitorizar os indicadores-chave de risco (KRI)?
A. Relatórios de auditoria das auditorias internas dos sistemas de informação
B. Directivas das autoridades legais e regulamentares
C. Análise das tendências dos factores de risco externos
D. Registos automatizados recolhidos de diferentes sistemas
Ver resposta
Resposta correta: D
Pergunta #208
Uma parte de um projeto diz respeito ao trabalho de hardware. Como gestor de projeto, decidiu contratar uma empresa para tratar de todo o trabalho de hardware do projeto. Que tipo de resposta ao risco é esta?
A. Transferência
B. Mitigação
C. Evitar
D. Explorar
Ver resposta
Resposta correta: A
Pergunta #209
Após a revisão de um registo de risco, a auditoria interna questionou a razão pela qual o risco foi reduzido de médio para baixo. Qual das seguintes opções é a MELHOR forma de atuar para responder a esta questão?
A. Notificar a empresa na próxima reunião de informação sobre o risco
B. Obter parâmetros de referência do sector relacionados com o risco específico
C. Apresentar uma justificação para a classificação de risco mais baixa
D. Reabrir a questão do risco e efetuar uma avaliação completa
Ver resposta
Resposta correta: C
Pergunta #210
Qual das seguintes opções é a MAIS importante para a conceção de cenários de risco relevantes?
A. Os cenários estão ligados a situações organizacionais prováveis
B. Os cenários são baseados em incidentes passados
C. Os cenários estão alinhados com as capacidades de gestão do risco
D. s cenários são mapeados para as capacidades de gestão de incidentes
Ver resposta
Resposta correta: A

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.