Considere que um Analista do Tribunal Regional do Trabalho f...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é a A.
Comentário sobre a alternativa correta:
A alternativa A está correta pois, de acordo com a Norma NBR ISO/IEC 27001:2013, uma das ações essenciais no processo de tratamento dos riscos de segurança da informação é selecionar de forma apropriada as opções de tratamento dos riscos. Isso deve ser feito levando em consideração os resultados da avaliação do risco. Esse procedimento é fundamental para a implementação de um sistema de gestão de segurança da informação (SGSI) efetivo, garantindo que os riscos identificados sejam tratados de maneira adequada e proporcional.
Comentário sobre as alternativas incorretas:
A alternativa B está incorreta porque a Norma NBR ISO/IEC 27001:2013 não determina que apenas os controles listados na norma devem ser utilizados, sem a inclusão de controles adicionais. Na verdade, é permitido e, em muitos casos, recomendado que as organizações apliquem controles adicionais que não estão listados na norma, desde que sejam necessários para tratar os riscos identificados.
A alternativa C está incorreta porque a Norma recomenda a elaboração de uma declaração de aplicabilidade contendo os controles necessários e sua justificativa, mas não sugere que não haja exclusão de controles. Pelo contrário, a organização deve excluir controles que não são aplicáveis, justificando essas exclusões de acordo com o contexto específico da organização.
A alternativa D está incorreta porque, embora seja importante preparar um plano para o tratamento dos riscos residuais e obter a aprovação da alta gerência, não é necessário incluir os técnicos de TI na aprovação conforme mencionado. A norma enfatiza a necessidade de envolvimento da alta administração na aprovação dos planos de tratamento de riscos.
A alternativa E está incorreta porque a norma recomenda justamente o oposto: que a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação seja mantida de modo confidencial e controlado. A norma não sugere que esse documento seja ajustado pelos stakeholders ou que seja público, garantindo assim a segurança e integridade das informações.
Espero ter esclarecido suas dúvidas. Caso precise de mais alguma explicação ou tenha outra questão, estou à disposição!
```Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
B) Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado. (Creio que possa ter a inclusão de controles adicionais.)
C) Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles. (A norma pode permitir a exclusão de controles, caso a situação necessite disto)
D) Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI. (O risco residual não necessita de tanta formalidade, como a aprovação da alta gerência)
E) Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público. (Dependendo da situação isto pode não ser possível. Há situações em que o documento não deve ser público por questão de segurança)
Pessoal, eu não estou com o texto da Norma 27001, mas tentei expor os trechos errados em cada alternativa. Caso equívocos sejam encontrados, favor corrigi-los.
Bons estudos!
ISO 27001:2013
6.1.3 Tratamento de riscos de segurança da informação.
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:
a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco;
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;
NOTA: As organizações podem projetar os controles,conforme requerido, ou identificá-los de qualquer outra fonte.
c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que nenhum controle necessário tenha sido omitido;
NOTA 1 O Anexo A contém uma lista detalhada dos controles e dos objetivos de controle. Os usuários desta Norma são instruídos a utilizar o Anexo A para garantir que nenhum controle necessário foi omitido;
NOTA 2 Os objetivos de controle estão implicitamente incluídos nos controles escolhidos. Os objetivos de controle e os controles listados no Anexo A não são exaustivos e controles e objetivos de controles adicionais podem ser necessários;
d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;
e) preparar um plano para tratamento dos riscos de segurança da informação;
f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação, e a aceitação dos riscos residuais de segurança da informação;
A organização deve manter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação;
NOTA O processo de tratamento e a avaliação dos riscos de segurança da informação desta norma está alinhada com os princípios e diretrizes gerais definidas na ABNT NBR ISO 31000 – Gestão de riscos – Princípios e diretrizes.
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.3 Tratamento de riscos de segurança da informação.
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:
a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco;
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;
c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que
nenhum controle necessário tenha sido omitido;
d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;
e) preparar um plano para tratamento dos riscos de segurança da informação;
f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança
da informação, e a aceitação dos riscos residuais de segurança da informação;
selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação,
levando em consideração os resultados da avaliação do risco
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos