Questões de Concurso
Comentadas sobre iso 27002 em segurança da informação
Foram encontradas 679 questões
II. É a combinação da probabilidade de ocorrência de um evento e suas consequências. Possíveis opções para seu tratamento incluem: a) aplicar controles apropriados para reduzi-los; b) conhecê-los e objetivamente aceitá-los; c) evitar, não permitindo ações que poderiam causar a sua ocorrência; d) transferi-los para outras partes, como seguradoras ou fornecedores. É correto afirmar que os itens I e II
À luz das normas ISO/IEC 27001 e 27002, julgue o próximo item, relativo à segurança da informação.
Os fatores críticos para a implementação bem-sucedida da
segurança da informação incluem a compreensão dos requisitos
de segurança da informação, a análise e a gestão de riscos.
À luz das normas ISO/IEC 27001 e 27002, julgue o próximo item, relativo à segurança da informação.
Ao elaborar, manter, melhorar e implantar um sistema
de gestão de segurança da informação, a organização deve
considerar as características técnicas de seu negócio, e o
SGSI (sistema de gestão de segurança da informação) deve ser
documentado dentro do contexto de suas atividades
operacionais, sem, contudo, envolver a direção da organização.
De acordo com a ABNT NBR ISO/IEC 27002 de 2005 é essencial que uma organização identifique os seus requisitos de segurança da informação. Com relação a este assunto são realizadas as seguintes afirmações:
I. Uma fonte de requisitos de segurança da informação é a legislação vigente, os estatutos, a regulamentação e a cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.
II. Uma vez que os requisitos de segurança da informação, os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam eliminados. Não é aceitável a simples redução a níveis aceitáveis.
III. A análise/avaliação de riscos deve ser realizada na implantação do SGI e, posteriormente, semestralmente, independente de quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.
IV. Uma possível opção para o tratamento do risco inclui transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Em relação a estas afirmações, assinale a alternativa
correta:
Julgue o próximo item, de acordo com a norma NBR ISO/IEC 27002:2013, que estabelece diretrizes para práticas de gestão de segurança da informação.
A estrutura organizacional e as funções de software e
hardware não figuram como objetos da referida norma.
Julgue o próximo item, de acordo com a norma NBR ISO/IEC 27002:2013, que estabelece diretrizes para práticas de gestão de segurança da informação.
A definição de uma política de segurança da informação e o
estabelecimento da abordagem para gerenciar os objetivos de
segurança da informação devem ser aprovados no mais alto
nível da organização.
Julgue o próximo item, de acordo com a norma NBR ISO/IEC 27002:2013, que estabelece diretrizes para práticas de gestão de segurança da informação.
As fontes principais de requisitos de segurança da informação
são avaliação de riscos para a organização, legislação vigente
e conjuntos particulares de princípios, objetivos e requisitos do
negócio.
Em relação a normativas de segurança da informação, analise as afirmativas abaixo:
I. A norma que trata de boas práticas de segurança da informação é a ISO/IEC 27002.
II. Para conhecer as diretrizes de um SGSI, deve-se utilizar a norma ISO/IEC 27001.
III. A recente norma ISO/IEC 27006 é uma evolução da norma ISO/IEC 27002, absorvendo os conceitos usados na norma ISO/IEC 27001.
Está correto somente o que se afirma em:
Um inquérito administrativo foi aberto para a apuração de responsabilidades pelos impactos da paralisação das atividades de determinado órgão do Judiciário brasileiro, em decorrência de um desastre ocorrido na área de TI. Uma equipe, composta por pessoal interno ao órgão e por investigadores independentes, contratados para assessorar as investigações, inquiriu a equipe que atua na área de segurança da informação, entre outras pessoas, tendo realizado entrevistas, coletado evidências e apresentado pareceres sobre a fragilidade dos planos de continuidade de negócios do órgão, bem como sobre os controles de becape, tratamento de incidentes e problemas. Foram evidenciadas algumas falhas conceituais, tanto operacionais quanto estratégicas, entre várias outras evidências de comportamento consistente.
Considerando essa situação e os conceitos de planos de
continuidade de negócio, becape, recuperação de dados e
tratamento de incidentes e problemas, assinale a opção que
apresenta evidência de comportamento consistente.
Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.
O conteúdo da norma ISO/IEC 27005 influenciou a criação de outras normas, tais como a ISO/IEC 27001 e ISO/IEC 27002.
Os processos do sistema de gerenciamento de segurança da informação (SGSI) devem ser estruturados segundo o modelo PDCA (plan-do-check-act), sendo o processo check responsável por implementar e operar a política, os controles, processos e procedimentos do SGSI.
De acordo com a estrutura da ISO/IEC 27002, nas diretrizes para implementação da segurança das informações, convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação.
De acordo com a norma ISO/IEC 27002, tanto o controle contra códigos maliciosos quanto o controle contra códigos móveis fazem parte do gerenciamento das operações e comunicações, e o bloqueio a qualquer tipo de uso de código móvel consiste em uma das diretivas desse último controle.
I. Colocar as linhas de energia e de telecomunicações que entram nas instalações de processamento da informação no subterrâneo, sempre que possível.
II. Proteger o cabeamento de redes contra interceptações não autorizadas ou danos, por exemplo, usando conduítes.
III. Segregar os cabos de energia dos cabos de comunicações, para evitar interferências.
IV. Marcar de forma clara e identificável os cabos e equipamentos, a fim de minimizar erros de manuseio.
Com relação à segurança do cabeamento, a norma ISO 27002 sugere que sejam considerados os itens:
A fim de que os registros de log de segurança de um sistema atendam a seus propósitos de maneira eficiente, o relógio do sistema deve estar corretamente ajustado e sincronizado com os relógios dos demais sistemas do ambiente computacional.