Para que o plano de continuidade de negócios apresentado por...
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.
Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: C - Certo
A questão aborda a conformidade de um plano de continuidade de negócios em relação à Norma NBR ISO/IEC 15.999. Para resolver essa questão, é essencial ter conhecimento sobre as melhores práticas e requisitos estabelecidos nas normas relacionadas à segurança da informação e continuidade dos negócios.
A norma ISO/IEC 15.999, mencionada na questão, está relacionada ao gerenciamento da continuidade dos negócios. Esta norma define requisitos e oferece diretrizes para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de continuididade de negócios (SGCN). Os documentos citados na questão - plano de gerenciamento de incidentes, plano de recuperação de negócios, declaração de política de gestão de continuidade dos negócios (GCN), e relatório de análise de impactos sobre negócios (BIA) - são todos elementos-chave que devem ser considerados dentro de um SGCN adequado.
Um plano de gerenciamento de incidentes é fundamental para responder a incidentes de segurança da informação que possam afetar a continuidade dos negócios. O plano de recuperação de negócios detalha as ações para restaurar as operações críticas após um incidente. A declaração de política de gestão de continuididade dos negócios expressa o comprometimento da organização com a continuidade dos negócios. Finalmente, o relatório de análise de impactos sobre negócios (BIA) identifica as funções críticas da organização e os recursos necessários para a continuidade das operações.
Portanto, a alternativa está correta porque um plano de continuididade de negócios conforme à Norma NBR ISO/IEC 15.999 realmente deve incluir referências, sejam elas explícitas ou implícitas, a esses documentos, uma vez que eles são componentes essenciais para a eficácia do sistema de gestão de continuidade dos negócios.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
comunicação identificadas, atividades chave, papéis e responsabilidades para pessoas e times, método de acionamento, detalhes de comunicação com pessoal e partes interessadas, dentre outras coisas.
Portanto, o plano de continuidade de negócios faz referência ao plano de gestão de incidentes.
O texto faz referência a ISO/IEC 15.999:
"Com relação à documentação de GCN, é importante desenvolver diretrizes de recuperação de procedimentos identificados como críticos, para que as unidades de negócio possam operar entre o período de desastre e até a recuperação de processos críticos e eventualmente o retorno a normalidade. A identificação dos processos críticos é realizada através do questionário denominado Análise de Impacto nos Negócios (AIN ou BIA) e os procedimentos são elaborados através da documentação de:
• Planos de Recuperação de Desastres (PRD);
• Plano de Continuidade Operacional (PCO); ou
• Planos de Gerenciamento de Incidentes."
Questão correta, portanto.
Espero ter ajudado!
CERTO.
Segundo a ISO 15999-1,"5.5 Documentação de GCN
Convém que os indivíduos responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos:
a) política de GCN;
[...]
b)análise de impacto nos negócios (BIA);
c)avaliação de riscos e ameaças;
d)estratégias de GCN;
e)programa de conscientização;
f)programa de treinamento;
g)planos de gerenciamento de incidentes;
h)planos de continuidade de negócios;
i)planos de recuperação de negócios;
j)agenda de testes e relatórios;
k)contratos e acordos de níveis de serviço."
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos