Se a equipe de uma organização realizou o processo formal de...
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: E - Errado
A questão aborda a aderência aos processos prescritos na Norma ISO/IEC 27001, que trata do Sistema de Gestão da Segurança da Informação (SGSI). Para solucioná-la, é necessário compreender como a norma define e ordena as etapas de implementação e gestão da segurança da informação.
De acordo com a Norma ISO/IEC 27001, a análise e avaliação de riscos é uma etapa fundamental que deve preceder a elaboração da Declaração de Aplicabilidade (DoA). A DoA é um documento que identifica os controles de segurança que são aplicáveis à organização e justifica sua inclusão ou exclusão com base na análise de riscos.
A alternativa "E" está correta em afirmar que o processo de análise/avaliação de riscos deve ser realizado antes da elaboração da DoA. Isso garante que a organização tenha uma compreensão clara dos riscos que enfrenta e possa selecionar os controles apropriados para mitigá-los, conforme exigido pela norma.
A prática de realizar a análise de riscos apenas após a elaboração da primeira declaração de aplicabilidade não está em conformidade com a Norma 27001. Isso porque a DoA deve ser baseada nos resultados da análise de riscos, o que significa que a análise deve ocorrer antes de sua elaboração.
Portanto, a alternativa correta é "E - Errado", pois o procedimento descrito no enunciado não segue a ordem prescrita pela norma.
Se precisar de mais alguma ajuda ou esclarecimento sobre normas e padrões de segurança da informação, estarei aqui para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
3.16
declaração de aplicabilidade: declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.
NOTA: Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação.
Deveria ser ˜antes da˜.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos