Questões de Concurso Comentadas sobre norma 27005 em segurança da informação

Foram encontradas 300 questões

Ano: 2016 Banca: FUNDATEC Órgão: IPASEM - NH
Q1230559 Segurança da Informação
Qual a norma brasileira que trata da Gestão de Riscos de Segurança da Informação?
Alternativas
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: ANEEL
Q1196115 Segurança da Informação
Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999.
Um dos resultados da avaliação de riscos é a produção de uma declaração de atividades críticas.
Alternativas
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: ANEEL
Q1195941 Segurança da Informação
Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999.
Os processos de preparação e manutenção de resposta devem ser definidos segundo uma política de gestão de continuidade de negócios.
Alternativas
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: ANEEL
Q1195902 Segurança da Informação
Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999.
Toda informação sobre ativos, ameaças, vulnerabilidades e cenários de risco levantada durante as análises/avaliações de risco deve ser comunicada por meio de uma wiki web acessível no escopo da intranet na organização.
Alternativas
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: ANEEL
Q1195785 Segurança da Informação
Julgue o item a seguir, a respeito das características e das ações relativas a uma organização que possui gestão de riscos e gestão de continuidade de negócios aderentes às normas ISO/IEC 27005 e NBR 15999.
A gestão de continuidade de negócios é complementar à gestão de riscos e tem como foco o desenvolvimento de uma resposta a uma interrupção causada por um incidente de difícil previsão, materializada na forma de um plano de continuidade de negócios.
Alternativas
Ano: 2019 Banca: FCC Órgão: Prefeitura de Teresina - PI
Q1195587 Segurança da Informação
De acordo com a Norma NBR ISO/IEC 27005:2011, no processo de identificação de ativos da organização, um dos ativos do tipo primário é 
Alternativas
Ano: 2019 Banca: FCC Órgão: Prefeitura de Teresina - PI
Q1195300 Segurança da Informação
De acordo com a Norma NBR ISO/IEC 27005:2011, dentre as classes de ameaças conhecidas como ações não autorizadas, o único tipo de ameaça que é considerado acidental é 
Alternativas
Ano: 2014 Banca: FGV Órgão: Prefeitura de Recife - PE
Q1193735 Segurança da Informação
A norma ISO/IEC 27.005 tem por objetivo 
Alternativas
Ano: 2010 Banca: CESPE / CEBRASPE Órgão: TCU
Q1192863 Segurança da Informação
Julgue o item subsequente, relativos às Normas NBR ISO/IEC 15999 e 27005.
A norma NBR ISO/IEC 27005 prescreve que o gerenciamento de incidentes pode ser realizado iniciando-se com uma definição de contexto, seguido por uma análise e avaliação, tratamento, aceitação, comunicação, monitoramento e análise crítica dos incidentes.

Alternativas
Q1119899 Segurança da Informação

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27005, é correto afirmar que, na situação hipotética descrita no texto 4A04-I, ocorreu uma falha no ciclo de vida da gestão de risco, na fase
Alternativas
Q1118925 Segurança da Informação
Segundo a NBR ISO/IEC 27005, no processo de gestão de riscos da segurança da informação, a definição dos critérios de avaliação de riscos é realizada na atividade
Alternativas
Q1062727 Segurança da Informação
De acordo com a NBR ISO/IEC n.º 27005:2011, o processo para gestão de riscos de segurança da informação consiste em uma série de etapas, e a primeira delas é
Alternativas
Q1056233 Segurança da Informação

Considerando-se o que dispõe a ISO 27005 sobre as diretrizes para a implementação quando da abordagem sobre a transferência de risco, analisar os itens abaixo:

I - A transferência do risco jamais criará novos riscos ou modificará riscos existentes e já identificados.

II - A transferência do risco envolve a decisão de se compartilhar certos riscos com entidades externas.

III - A transferência pode ser feita por um seguro que cubra as consequências ou através da subcontratação de um parceiro cujo papel seria o de monitorar o sistema de informação e tomar medidas imediatas que impeçam um ataque antes que ele possa causar um determinado nível de dano ou prejuízo.

Está(ão) CORRETO(S):

Alternativas
Q1056232 Segurança da Informação

Baseando-se na ISO 27005, em relação ao processo de gestão de risco de segurança da informação, analisar a sentença abaixo:

Durante o processo de gestão de riscos de segurança da informação, é importante que os riscos e a forma com que são tratados sejam comunicados ao pessoal das áreas operacionais e gestores apropriados. Mesmo antes do tratamento do risco, informações sobre riscos identificados podem ser muito úteis para o gerenciamento de incidentes e ajudar a reduzir possíveis prejuízos (1ª parte). A conscientização dos gestores e pessoal no que diz respeito aos riscos, à natureza dos controles aplicados para mitigá-los e às áreas definidas como de interesse pela organização auxilia a lidar com os incidentes e eventos não previstos da maneira mais efetiva. Convém que os resultados detalhados de cada atividade do processo de gestão de riscos de segurança da informação, assim como as decisões sobre a análise/avaliação de riscos e sobre o tratamento do risco, sejam documentados (2ª parte). Em um processo de gestão de risco de segurança da informação, primeiramente, deve-se estabelecer o contexto. Em seguida, executa-se uma análise/avaliação de riscos. Se ela fornecer informações suficientes para que se determinem de forma eficaz as ações necessárias para reduzir os riscos a um nível aceitável, então a tarefa está completa e o tratamento de risco pode suceder-se. Por outro lado, se as informações forem insuficientes, executa-se uma outra iteração da análise/avaliação de risco, revisando-se o contexto (por exemplo, os critérios de avaliação de risco, de aceitação do risco ou de impacto), possivelmente em partes limitadas do escopo (3ª parte).

A sentença está:

Alternativas
Q1056231 Segurança da Informação

Segundo as definições da ISO 27005, a análise/avaliação de riscos de segurança da informação, entre outros:

I - Determina o valor dos ativos de informação.

II - Identifica as ameaças e vulnerabilidades aplicáveis existentes (ou que poderiam existir).

III - Identifica os controles existentes e seus efeitos no risco identificado.

IV - Determina as consequências passíveis, prioriza os riscos derivados e ordena-os de acordo com os critérios de avaliação de riscos estabelecidos na definição do contexto.

Estão CORRETOS:

Alternativas
Q1038251 Segurança da Informação

Julgue o próximo item, relativo à gestão de segurança da informação.


De acordo com a norma NBR ISO/IEC 27005, considera-se risco residual aquele remanescente após o tratamento do risco, podendo o risco residual conter riscos não identificados.

Alternativas
Q1029317 Segurança da Informação
A Norma NBR ISO/IEC 27005 (Tecnologia da Informação – Técnicas de segurança – Gestão de riscos da segurança da informação) estabelece como uma das entradas, em sua seção de Identificação dos Ativos,
Alternativas
Q1029316 Segurança da Informação
A Norma NBR ISO/IEC 27005 (Tecnologia da Informação – Técnicas de segurança – Gestão de riscos da segurança da informação) define, em sua seção de termos e definições, o risco residual como sendo
Alternativas
Q1015570 Segurança da Informação
Em uma organização os critérios de aceitação do risco dependem frequentemente das políticas, metas e objetivos, assim como dos interesses das partes interessadas. Segundo a norma ABNT NBR ISO/IEC 27005:2011, cada organização pode definir sua própria escala de níveis de aceitação do risco, considerando que critérios para a aceitação do risco
Alternativas
Q990104 Segurança da Informação

Com fundamento na NBR ISO/IEC 27001 e na NBR ISO/IEC 27005, uma organização decidiu implantar um sistema de gestão de segurança da informação (SGSI), a fim de apoiar o processo de gestão dos riscos, os quais foram listados de acordo com o escopo estabelecido para o SGSI.

Nessa situação, após os riscos serem listados, deve ser executada a fase de

Alternativas
Respostas
121: C
122: E
123: C
124: C
125: C
126: C
127: E
128: B
129: E
130: D
131: A
132: A
133: C
134: A
135: E
136: C
137: A
138: B
139: D
140: B