Questões de Segurança da Informação - Norma ISO 27001 para Concurso
Foram encontradas 694 questões
Considerando os padrões da família ISO (International Organization for Standardization) / IEC (International Electrotechnical Commision) e as normas da ABNT (Associação Brasileira de Normas Técnicas), analise as afirmações a seguir.
I. O padrão ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação). Esse padrão serve para fins de certificação da organização.
II. O padrão ISO/IEC 27002 apresenta o código de melhores práticas para a Gestão de Segurança da Informação.
III. O padrão ISO/IEC 27005 fornece diretrizes para o gerenciamento de riscos de segurança da informação.
IV. A ABNT estabeleceu a norma NBR ISO/IEC 27001, que segue o padrão ISO/IEC 27001.
- Quantas dessas afirmações estão corretas?
Para detectar erros nos resultados de processamento, a organização deve executar procedimentos de monitoração e análise crítica do SGSI e outros controles.
Na implementação do plano de tratamento de riscos, a inclusão de atribuição de papéis e responsabilidades deve ser evitada, pois aquele é um documento sucinto e confidencial.
Para estabelecer o SGSI, no tocante à análise e à avaliação dos riscos, uma das ações que devem ser executadas consiste em avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando-se em consideração as consequências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos.
A política do SGSI, para os efeitos da norma em questão, não é considerada um documento importante da política de segurança da informação, pois estabelece apenas diretrizes.
A organização deve comunicar as ações e melhorias do SGSI a todas as partes interessadas, com um nível de detalhamento apropriado às circunstâncias, bem como deve assegurar-se de que as melhorias atinjam os objetivos pretendidos.
Ao estabelecer o SGSI, a organização deve identificar os riscos e as ameaças; para isso, ela deverá identificar e registrar em documento os proprietários dos ativos dentro do escopo do SGSI, ou seja, as pessoas que têm o direito de propriedade sobre o ativo.
A norma ISO/IEC 27001 adota o PDCA (Plan-Do-Check-Act – Planejar, Executar, Verificar e Agir), também conhecido
como ciclo de Deming, que é aplicado na estrutura de todos os processos de ISMS (Information Security Management
System – Sistema de Gerenciamento de Segurança da Informação). Em termos operacionais, a norma divide-se em
cinco grandes seções. Acerca dessas seções, assinale a alternativa INCORRETA.
( ) Ainda que sejam genéricos, os requisitos da norma não são aplicáveis a pequenas e médias empresas que são regulamentadas pela norma NBR ISO/IEC 27002. ( ) Uma vez implementado numa organização, um SGSI deve ser sempre monitorado e melhorado a partir de medições contínuas. ( ) A norma é baseada no modelo AnalyzePlan-Act-Check (APAC), que define os passos a serem seguidos na análise dos processos atuais até a implementação e acompanhamento dos novos serviços. ( ) A implementação de um SGSI independe da estrutura ou dos objetivos da empresa, devendo esta atender a todos os requisitos de segurança de recursos humanos e gerenciamento de riscos definidos pela norma.
Está correta, de cima para baixo, a seguinte sequência:
Considere que uma organização, que deseja estar em conformidade com requisitos legais e contratuais, implementou as ações abaixo:
I. Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, são explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
II. Procedimentos apropriados são implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.
III. Informações envolvidas em transações nos aplicativos de serviços são legalmente protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
IV. Controles de criptografia são usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.
Segundo a norma ABNT NBR ISO/IEC 27001:2013, são ações indicadas especificamente para se evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação o que consta APENAS de
I. para implementar a ISO 27001, em uma organização, tem que se seguir 61 etapas.
II. a ISO 27001 tornou-se a mais popular norma de segurança da informação no mundo.
III.existem dois tipos de certificação ISO 27001: para organizações, e para indivíduos.
Quanto à gestão dos ativos, somente os ativos da área de TI devem ser inventariados, devendo cada um deles ser claramente identificado e descrito em detalhes, para serem restaurados no caso de incidente de segurança da informação.
Conheça nossos planos