Questões de Concurso
Sobre iso 27002 em segurança da informação
Foram encontradas 741 questões
Um processo de negócio, considerado um ativo de informação, deve ser classificado adequadamente pelo proprietário.
Supondo que, no banco de dados de uma organização, estejam armazenados dados que são apresentados na interface web de uma aplicação para seus usuários, é possível dispensar a classificação das informações, uma vez que a aplicação web manipula os dados e os apresenta para os usuários da aplicação.
Cabe ao controle de segurança dos arquivos do sistema exigir documento formal para que os usuários de uma organização tenham acesso ao servidor de arquivos.
Em um projeto para construção de área física com vistas à proteção de ativos de informação, devem ser considerados controles para prevenir ameaças como enchente e terremotos.
Qual recomendação NÃO está em acordo com a referida norma?
A norma ISO/IEC 17.799 recomenda que as senhas sejam alteradas no primeiro acesso ao sistema e que as senhas definitivas sejam inclusas em processos automáticos de acesso, como, por exemplo, em macros.
Ao fazer logon pela primeira vez em um servidor ou site da Web, será solicitado o nome de usuário (ID) e senha temporária. Ao digitar o ID e a senha do recurso e marcar a caixa de seleção Lembrar minha senha, as informações de logon são armazenadas com os dados da conta de usuário. Da próxima vez que esse usuário se conectar ao mesmo recurso, essas credenciais armazenadas são usadas para autenticá-lo automaticamente.
De acordo com as diretrizes da Norma ABNT NBR ISO/IEC 27002:2005, o procedimento descrito no texto
- Definição e formalização de uma política de cópias de segurança (backups) que inclua o código-fonte e a base de dados com base nas necessidades de negócio, incluindo procedimentos regulares de recuperação e observando as recomendações contidas no controle adequado da Norma NBR ISO/IEC 27002:2005.
- Considerando a necessidade de proteger o sigilo das informações, deve-se avaliar a conveniência de criptografar os dados gravados nas mídias das cópias de segurança, conforme recomenda a diretriz para implementação do controle adequado da Norma NBR ISO/IEC 27002:2005.
Estas diretrizes se referem à seção da Norma que possui em uma de suas categorias, o controle Cópias de segurança:
A fim de facilitar a obtenção de dados dos ativos auditados, os acessos às ferramentas de auditorias devem ser disponibilizados juntamente com os sistemas em operação.
O inventário dos ativos faz parte do processo de gestão de ativos.
As informações de uma organização possuem vários níveis de sensibilidade e criticidade, razão pela qual alguns itens podem necessitar de um tratamento e proteção diferenciados.
Incidente de segurança da informação é um evento simples ou uma série de eventos indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
Disponibilidade da informação, integridade, autenticidade e confiabilidade são algumas das propriedades obrigatórias na definição da segurança da informação de uma organização.
As informações operacionais incluídas no ambiente antes dos testes de intrusão devem ser nele mantidas após o teste.