O controle de Segurança da Informação definido no Anexo A da...

A alternativa correta é a A.

A norma ABNT NBR ISO/IEC 27001:2022 é uma referência internacional para a gestão da segurança da informação. Ela define um conjunto de controles e práticas recomendadas para proteger a informação de uma organização. No contexto da questão, o foco está no controle relacionado aos termos e condições de contratação, que são fundamentais para garantir que todos os funcionários entendam e cumpram suas responsabilidades em relação à segurança da informação.

Alternativa A: Declarar as responsabilidades do pessoal e da organização para a segurança da informação.

Essa alternativa é correta porque um dos pontos cruciais da norma é assegurar que todos os envolvidos estejam cientes de suas responsabilidades. Isso inclui tanto os empregados quanto a própria organização, garantindo que todos saibam o que é esperado deles em termos de segurança da informação.

Alternativa B: Conter a Política de Segurança da Informação que os funcionários deverão cumprir.

Embora seja importante que os funcionários sigam a Política de Segurança da Informação, a norma enfatiza mais as responsabilidades individuais e organizacionais do que a inclusão da política completa nos contratos trabalhistas. A política pode ser um documento separado ao qual os funcionários devem aderir.

Alternativa C: Indicar as punições aos funcionários que transgredirem as regras de segurança da informação da organização.

Essa alternativa destaca um aspecto punitivo, mas a norma ISO/IEC 27001:2022 foca mais na prevenção e na definição de responsabilidades claras. As punições podem ser tratadas em outras políticas internas ou documentos legais.

Alternativa D: Indicar a comarca legal para tratar disputas judiciais relacionadas a Infrações dos funcionários à segurança da informação.

Determinar a comarca legal para disputas judiciais é uma questão jurídica e não um controle de segurança da informação conforme definido pela norma. A norma se concentra mais na gestão e responsabilidades do que em aspectos legais específicos.

Alternativa E: Definir as regras para a utilização de senhas e dos ativos de informação da organização.

A definição de regras para a utilização de senhas e ativos de informação é importante, mas isso geralmente é coberto em procedimentos operacionais e políticas específicas de segurança. O controle mencionado na questão é mais abrangente e foca nas responsabilidades gerais dos funcionários e da organização.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A alternativa correta é:

A - declarar as responsabilidades do pessoal e da organização para a segurança da informação.

Justificativa:

O controle relacionado a termos e condições de contratação da ABNT NBR ISO/IEC 27001:2022 destaca a importância de formalizar as responsabilidades em relação à segurança da informação tanto para o funcionário quanto para a organização. Isso inclui estabelecer claramente as expectativas e os deveres para proteger os ativos de informação, promovendo conformidade e conscientização em segurança desde o início da relação contratual.

As demais alternativas não refletem o escopo específico do controle citado:

B: Não é obrigatório incluir toda a política no contrato.

C: Foca mais em sanções do que na definição de responsabilidades.

D: Não aborda diretamente segurança da informação.

E: É um detalhe específico, mas não o foco principal do controle.