Questões de Segurança da Informação - ISO 27002 para Concurso
Foram encontradas 709 questões
A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa, devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação.
A política de segurança da informação de uma organização deve ser comunicada de maneira acessível e relevante a todos os usuários.
O documento de política de segurança da informação deverá conter a definição das responsabilidades gerais da gestão de segurança da informação. As responsabilidades específicas, como a gestão de incidentes de segurança da informação, devem ser contempladas em manuais de procedimentos.
Comprometimento e apoio visível dos colaboradores do nível gerencial fazem parte dos fatores críticos de sucesso para a implementação de segurança da informação dentro da organização.
A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.
O principal objetivo das políticas de segurança da informação é colaborar com a gestão da segurança da informação, orientando-a e apoiando-a administrativamente.
O documento de política de segurança da informação de uma empresa deve definir as políticas dessa área, com base nos objetivos do negócio, na legislação e na regulamentação pertinente.
Para que haja confiabilidade, o documento de política de segurança da informação deve permanecer inalterado ao longo do tempo.
No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI, uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização.
De acordo com a norma ISO/IEC n.º 27002:2005, é permitido que o administrador de sistemas suprima ou desative o registro (log) de suas próprias atividades em caso de falta de espaço em disco.
Para evitar o vazamento de informações corporativas, que gera prejuízos enormes às organizações, a utilização de equipamentos fora das dependências da organização requer obrigatoriamente a autorização prévia da administração.
Para alcançar os objetivos de controle identificados, faz parte da etapa Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as considerações de financiamentos e a atribuição de papéis e responsabilidades.
1. A legislação vigente a que a organização e seus parceiros de negócio devem atender é uma fonte de requisitos de segurança da informação.
2. A análise/avaliação de riscos para a organização leva em consideração as estratégias globais de negócio da organização.
3. A análise/avaliação de riscos deve ser repetida periodicamente para contemplar mudan- ças que possam alterar os resultados dessa análise/avaliação.
4. A norma defne critérios para determinar se os riscos encontrados podem ser aceitos ou não.
5. Uma possível opção para o tratamento do risco é transferir o risco associado para outras partes, como por exemplo, fornecedores ou seguradoras.
Assinale a alternativa que indica todas as afrmativas corretas.
I. reputação e imagem da organização.
II. equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos.
III. base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade de negócios, procedimentos de recuperação, trilhas de auditoria e informações armazenadas.
IV. aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.
V. de computação e comunicações, utilidades gerais, por exemplo, aquecimento, iluminação, eletricidade e refrigeração.
As denominações dos ativos acima listados, de acordo com a Norma, é apresentada em: