Questões de Concurso
Comentadas sobre norma 27005 em segurança da informação
Foram encontradas 300 questões
A tarefa específica de comprar um determinado risco com critérios predefinidos de risco, com objetivo de determinar a grandeza desse risco, é denominada análise de riscos.
O processo de aceitação do risco da gestão de riscos e segurança da informação está alinhado com o processo de planejamento do SGSI (sistema de gestão de segurança da informação).
I. Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco; porém, precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível, desde que sob circunstâncias definidas. I. Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado e o risco estimado. III. Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isso for especificado como um requisito contratual.
Está(ão) CORRETO(S):
De acordo com a NBR ISO/IEC 27005, em relação à definição do contexto, sobre os critérios básicos, analisar a sentença abaixo:
Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método não deve ser diferente para cada iteração do processo (1ª parte). Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, tais como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco (2ª parte). Convém que a organização avalie se os recursos necessários estão disponíveis para definir e implementar políticas e procedimentos, incluindo implementação dos controles selecionados (3ª parte).
A sentença está:
(1) Impacto.
(2) Comunicação do risco.
(3) Transferência do risco.
(4) Identificação de riscos.
( ) Processo para localizar, listar e caracterizar elementos do risco.
( ) Troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes interessadas.
( ) Compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco.
( ) Mudança adversa no nível obtido dos objetivos de negócios.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
Para a identificação de riscos, a norma NBR ISO/IEC 27005
recomenda que se incluam apenas os riscos cujas fontes sejam
evidentes e estejam sob o controle da organização.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
A análise crítica de políticas de segurança da informação deve
apoiar o gerenciamento da segurança da informação propondo
melhorias na política de segurança da informação em resposta
às mudanças no ambiente organizacional, nas circunstâncias do
negócio, nas condições legais ou no ambiente de tecnologia.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
O objetivo da classificação da informação é assegurar
que todas as informações produzidas pela organização recebam
os níveis máximos de proteção e sigilo disponíveis.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
O fornecimento de evidências formais da aplicação
de testes suficientes por empresa de desenvolvimento
de sistemas terceirizado contra a presença de vulnerabilidades
conhecidas em sistemas novos ou em processo de manutenção
é uma diretriz para implementação do controle relacionado à
supervisão e ao monitoramento de atividades de
desenvolvimento terceirizado pela organização.
Considerando as normas que regulam a segurança da informação e o sistema de gestão de segurança da informação (SGSI), julgue o próximo item.
De acordo com a ISO/IEC 27005, os responsáveis pela
estimativa de riscos devem entregar uma lista de riscos na qual
constem níveis de valores designados com base nos cenários de
incidentes e nas consequências deles para os ativos e o
negócio.
I. O risco remanescente, após ser devidamente tratado, é chamado de risco contínuo. II. A avaliação de riscos, sendo satisfatória, possibilita a implementação de controles na atividade "Tratamento de riscos", para reduzir, reter, evitar ou transferir riscos. III. O processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável chama-se avaliação de riscos.
Quais estão corretas?
I. Especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Publicada em 2013. II. Ela especifica os requisitos para o provedor de serviço planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGS. Os requisitos incluem o desenho, transição, entrega e melhoria dos serviços para cumprir os requisitos do serviço. Publicada em 2011. III. Este documento fornece diretrizes para o processo de gestão de riscos de segurança da informação. Publicada em 2019. IV. Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Publicada em 2013.
A respeito da NBR ISO/IEC 27005:2011, julgue o item subsecutivo.
A norma em questão é abrangente e se aplica a vários tipos
de organização, tais como agências governamentais
e organizações sem fins lucrativos.
Conheça nossos planos