Questões de Segurança da Informação - Norma ISO 27001 para Concurso

A atual norma ISO/IEC 27001 é basicamente uma padronização/normalização referente à uma área específica de TI. Ela é considerada tipicamente como sendo: 

Para a resolução das questões desta prova, considere os seguintes detalhes: (1) os programas utilizados nesta prova foram instalados com todas as suas configurações padrão, entretanto, caso tenham sido realizadas alterações que impactem a resolução da questão, elas serão alertadas no texto da questão ou mostradas visualmente, se necessário; (2) no enunciado e nas respostas de algumas questões, existe(m) letra(s), palavra(s) ou texto(s) que foram digitados entre aspas, apenas para destacá-los. Neste caso, para resolver as questões, desconsidere tais aspas e atente somente para a(s) letra(s), palavra(s) ou texto(s) propriamente ditos; (3) em algumas figuras, foram inseridas setas numeradas apenas para facilitar a resolução da questões; e (4), para resolver as questões desta prova, considere, apenas, os recursos disponibilizados para os candidatos, tais como essas orientações, os textos introdutórios das questões, normalmente disponibilizados antes das Figuras, os enunciados propriamente ditos e os dados e informações disponíveis nas Figuras das questões, se houver. 
A norma NBR ISO/IEC 27001:2013 – Tecnologia da informação aborda, em seu item "6. Planejamento", diversos tópicos, tais como "Ações para contemplar riscos e oportunidades", "Avaliação de riscos de segurança da informação" e "Tratamento de riscos de segurança da informação", dentre outros. No contexto dessa norma, risco é caracterizado como: 

A norma ABNT NBR ISO/IEC 27001:2013 apresenta como anexo uma tabela com controles e objetivos de controle alinhados com os existentes na norma ABNT NBR ISO/IEC 27002:2013. Uma colaboradora de nível técnico, utilizando os controles relacionados à segurança em processos de desenvolvimento e de suporte dessa tabela deve saber que

Assinale a alternativa que NÃO faz parte do modelo de gerenciamento de rede criado pela ISO (International Organization for Standartization).

Determinada organização pretende realizar uma mudança nos seus recursos de tecnologia da informação, criando ambientes diferentes para desenvolvimento, teste e produção de software, o que afetará a segurança da informação.
Considerando o disposto na NBR ISO/IEC 27001, assinale a opção que indica o controle que deve ser aplicado pela organização nessa situação.

A NBR 27001/2006 provê um modelo para especificar e implementar um Sistema de Gestão de Segurança da Informação (SGSI). Ela adota um modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI.

Com relação às etapas do modelo PDCA, considere as afirmativas seguir.

I. Do implementa e opera a política, os controles, os processos e os procedimentos do SGSI.

II. Plan avalia e, quando aplicável, mede o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI e apresenta os resultados para análise crítica pela direção.

III. Check estabelece a política, os objetivos, os processos e os procedimentos do SGSI relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e os objetivos globais de uma organização.

IV. Act executa as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica feita pela direção e em outras informações pertinentes, para alcançar a melhoria contínua do SGSI.

Assinale a alternativa correta.

Com base na norma NBR 27001/2006, relacione os termos estabelecidos na coluna 1 com as definições na coluna 2 . 

Coluna 1:

(I) Avaliação de Riscos. 

(II) Gestão de Riscos. 

(III) Análise de Riscos.

(IV) Incidente de Segurança da Informação.

(V) Evento de Segurança da Informação. 

Coluna 2:

(A) Evento ou série de eventos de segurança da informação indesejados ou inesperados, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

(B) Ocorrência identificada de um estado de sistema, serviço ou rede, indicando possível violação da política de segurança da informação, ou falha de controles, ou situação previamente desconhecida, que possa ser relevante para a segurança da informação.

(C) Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. 

(D) Uso sistemático de informações para identificar fontes e estimar o risco. 

(E) Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.

Assinale a alternativa que contém a associação correta. 

A NBR 27001/2006 define requisitos de documentação para o SGSI, a qual deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis e que os resultados registrados sejam reproduzíveis.

Sobre a documentação no SGSI, considere as afirmativas a seguir.

I. Evita a existência de documentos de origem externa.

II. Assegura que as alterações e a situação da revisão atual dos documentos sejam identificadas.

III. Assegura que a distribuição de documentos seja controlada.

IV. Previne o uso não intencional de documentos obsoletos.

Assinale a alternativa correta.

Conforme a NBR ISO/IEC 27001, implementar e operar um sistema de gestão de segurança da informação (SGSI) no processo PDCA envolve o requisito

Qual norma de segurança da informação pode ser observada quando uma empresa pretende ter a certificação ISO em sua estrutura informacional?

De acordo com a ABNT NBR ISO/IEC 27001:2013, quando uma não conformidade ocorre, a organização deve reter informação documentada

A atual norma ISO/IEC 27001 é basicamente uma padronização/normalização referente à uma área específica de TI. Ela é considerada tipicamente como sendo: