Questões de Concurso
Sobre norma iso 27001 em segurança da informação
Foram encontradas 728 questões
Com relação a gestão de incidentes de segurança da informação, julgue o item a seguir, conforme a NBR ISO/IEC n.º 27001:2013.
Por questões de agilidade e formalização, os eventos de
segurança da informação devem ser relatados por correio
eletrônico, o mais rápido possível.
No que se refere a segurança em recursos humanos, julgue o item subsequente, de acordo com a NBR ISO/IEC 27001:2013.
Durante processos de contratação de recursos humanos,
a norma preconiza que todos os funcionários da organização
devem receber treinamento, educação e conscientização
apropriados, bem como as atualizações regulares das políticas
e os procedimentos organizacionais relevantes para as suas
funções.
No que se refere a segurança em recursos humanos, julgue o item subsequente, de acordo com a NBR ISO/IEC 27001:2013.
Segundo essa norma, funcionários e partes externas devem,
somente após a sua contratação, entender suas
responsabilidades e estar em conformidade com os papéis
para os quais tenham sido selecionados.
Com relação a responsabilidade e papéis pela segurança da informação, julgue o item seguinte, conforme a NBR ISO/IEC 27001:2013.
Todas as responsabilidades pela segurança da informação
devem ser definidas e atribuídas.
Com relação a responsabilidade e papéis pela segurança da informação, julgue o item seguinte, conforme a NBR ISO/IEC 27001:2013.
Segundo o que preconiza a referida norma, a alta direção
é a única responsável por medir o desempenho do sistema
de gestão da segurança da informação dentro da organização.
De acordo com a NBR ISO/IEC 27001:2013, julgue o próximo item, relativo a aquisição, desenvolvimento e manutenção de sistemas.
Segundo essa norma, a política de desenvolvimento seguro
é restrita a regras para o desenvolvimento de sistemas
realizados fora da organização.
De acordo com a NBR ISO/IEC 27001:2013, julgue o próximo item, relativo a aquisição, desenvolvimento e manutenção de sistemas.
A norma em questão visa garantir que a segurança da
informação seja parte integrante de todo o ciclo de vida
dos sistemas de informação, o que inclui os serviços sobre
redes públicas.
A respeito de classificação e controle de ativos de informação e segurança de ambientes físicos e lógicos, julgue o item a seguir, de acordo com a NBR ISO/IEC 27001:2013.
Segundo a referida norma, as instalações de processamento
de informação tidas como críticas devem ser mantidas em
áreas seguras, que devem ser compatíveis com os riscos
previamente identificados.
A respeito de classificação e controle de ativos de informação e segurança de ambientes físicos e lógicos, julgue o item a seguir, de acordo com a NBR ISO/IEC 27001:2013.
De acordo com a referida norma, denomina-se ativo qualquer
elemento que tenha valor para a organização, mas, entre os
ativos, somente as informações devem ser classificadas.
Os tomadores de decisão podem aceitar riscos que não satisfaçam os critérios formalmente estabelecidos pela organização para a aceitação de riscos.
No processo de tratamento de riscos de segurança da informação, a organização deve assegurar que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis e válidos.
Para detectar erros nos resultados de processamento, a organização deve executar procedimentos de monitoração e análise crítica do SGSI e outros controles.
Na implementação do plano de tratamento de riscos, a inclusão de atribuição de papéis e responsabilidades deve ser evitada, pois aquele é um documento sucinto e confidencial.
Para estabelecer o SGSI, no tocante à análise e à avaliação dos riscos, uma das ações que devem ser executadas consiste em avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando-se em consideração as consequências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos.
A política do SGSI, para os efeitos da norma em questão, não é considerada um documento importante da política de segurança da informação, pois estabelece apenas diretrizes.
A organização deve comunicar as ações e melhorias do SGSI a todas as partes interessadas, com um nível de detalhamento apropriado às circunstâncias, bem como deve assegurar-se de que as melhorias atinjam os objetivos pretendidos.
Ao estabelecer o SGSI, a organização deve identificar os riscos e as ameaças; para isso, ela deverá identificar e registrar em documento os proprietários dos ativos dentro do escopo do SGSI, ou seja, as pessoas que têm o direito de propriedade sobre o ativo.
Considere que uma organização, que deseja estar em conformidade com requisitos legais e contratuais, implementou as ações abaixo:
I. Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, são explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
II. Procedimentos apropriados são implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados com direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.
III. Informações envolvidas em transações nos aplicativos de serviços são legalmente protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não autorizadas de mensagens, divulgação não autorizada, duplicação ou reapresentação de mensagem não autorizada.
IV. Controles de criptografia são usados em conformidade com todas as leis, acordos, legislação e regulamentações pertinentes.
Segundo a norma ABNT NBR ISO/IEC 27001:2013, são ações indicadas especificamente para se evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação o que consta APENAS de