Com relação ao Plano de Gestão de Incidentes Cibernéticos e ...
Conforme a Instrução Normativa GSI n.º 3, o processo de gestão de continuidade de negócios em segurança da informação fornece à organização um relatório de identificação, análise e avaliação dos riscos de segurança da informação e um relatório de tratamento de riscos de segurança da informação.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Olá, aluno! Vamos analisar a questão que envolve o Plano de Gestão de Incidentes Cibernéticos e as Instruções Normativas GSI. A alternativa correta para a questão é E - errado. Vamos entender o porquê.
Primeiro, é importante compreender que a Instrução Normativa GSI n.º 3 trata da Gestão de Continuidade de Negócios (GCN) em segurança da informação. Esse processo é essencial para garantir que a organização possa continuar operando de maneira eficiente e segura, mesmo em situações de crise ou incidentes cibernéticos significativos.
No entanto, a questão apresenta um equívoco ao afirmar que a Instrução Normativa GSI n.º 3 fornece à organização um relatório de identificação, análise e avaliação dos riscos de segurança da informação e um relatório de tratamento de riscos de segurança da informação. Vamos corrigir essa informação:
1. Relatório de Identificação, Análise e Avaliação de Riscos: Esse relatório é, na verdade, um produto da Gestão de Riscos e não especificamente da Gestão de Continuidade de Negócios. A gestão de riscos é abordada em outras Instruções Normativas, como a GSI n.º 1.
2. Relatório de Tratamento de Riscos: Assim como o relatório mencionado acima, este também é um produto da Gestão de Riscos. O tratamento de riscos envolve decisões e ações para mitigar ou aceitar os riscos identificados e avaliados.
Portanto, a Gestão de Continuidade de Negócios focada na GSI n.º 3 não é responsável pela produção desses relatórios específicos de riscos. Ela é mais voltada para a preparação e resposta a incidentes, garantindo a continuidade das operações críticas da organização.
Para finalizar, a alternativa correta é E - errado porque a questão incorretamente atribui à Instrução Normativa GSI n.º 3 responsabilidades que pertencem à Gestão de Riscos, conforme outras instruções normativas.
Espero que essa explicação tenha sido clara e que você tenha compreendido a diferença entre os processos de Gestão de Continuidade de Negócios e Gestão de Riscos dentro do contexto das Instruções Normativas GSI. Qualquer dúvida, estou aqui para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
item errado!
Instrução Normativa GSI n.º 3: Define a Política de Segurança da Informação e Comunicações (PoSIC) no âmbito do Poder Executivo Federal.
Não é o processo de gestão de continuidade de negócios. E sim o processo de gestão de riscos (...)
Art. 12. O processo de gestão de riscos de segurança da informação deverá fornecer à organização os seguintes documentos:
I - plano de gestão de riscos de segurança da informação;
II - relatório de identificação, análise e avaliação dos riscos de segurança da informação; e
III - relatório de tratamento de riscos de segurança da informação.
INSTRUÇÃO NORMATIVA - GSI/PR Nº 3, DE 28 DE MAIO DE 2021
Art. 1º Aprovar os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal.
CAPÍTULO I - DISPOSIÇÕES PRELIMINARES
Art. 2º A presente Instrução Normativa trata dos processos relacionados à gestão de segurança da informação que devem ser observados pelos órgãos e pelas entidades da administração pública federal no planejamento e na implementação de suas ações referentes à segurança da informação.
Art. 3º A gestão de segurança da informação será constituída pelos seguintes processos de realização obrigatória pelos órgãos e pelas entidades da administração pública federal:
I - mapeamento de ativos de informação;
II - gestão de riscos de segurança da informação;
III - gestão de continuidade de negócios em segurança da informação;
IV - gestão de mudanças nos aspectos de segurança da informação; e
V - avaliação de conformidade de segurança da informação.
GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA INFORMAÇÃO
Art. 18. A implementação do processo de gestão de continuidade de negócios em segurança da informação tem o objetivo de minimizar os impactos decorrentes de falhas, desastres ou indisponibilidades significativas sobre as atividades do órgão ou da entidade nessa área, além de recuperar perdas de ativos de informação em nível aceitável, por intermédio de ações de resposta a incidentes e recuperação de desastres.
Art. 19. O processo de gestão de continuidade de negócios em segurança da informação deve ser baseado nas estratégias de continuidade para as atividades críticas, na avaliação dos riscos levantados no processo de gestão de riscos e em diretrizes institucionais sobre gestão de continuidade de negócio.
Art. 21. O processo de gestão de continuidade de negócios em segurança da informação deve ser composto por um plano de continuidade de negócios em segurança da informação, o qual observará o disposto no relatório de identificação, análise e avaliação de riscos de segurança da informação e a prioridade de recuperação dos processos de negócio.
A instrução normativa GSI que fornece à organização um relatório de identificação, análise e avaliação dos riscos de segurança da informação e um relatório de tratamento de riscos de segurança da informação é a Instrução Normativa GSI/PR nº 2.
Alternativa: Errado.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos