Com base nas normas ABNT NBR ISO/IEC n.º 27001:2013 e ABNT ...

Próximas questões
Com base no mesmo assunto
Q2133247
Segurança da Informação Norma ISO 27001 ,
Ano: 2023 Banca: CESPE / CEBRASPE Órgão: CNMP Prova: CESPE / CEBRASPE - 2023 - CNMP - Analista do CNMP – Àrea: Tecnologia da Informação e Comunicação - Especialidade: Desenvolvimento de Sistemas |
Q2133247 Segurança da Informação

Com base nas normas ABNT NBR ISO/IEC n.º 27001:2013 e ABNT NBR ISO/IEC n.º 27002:2013, julgue o item a seguir, a respeito da gestão de segurança da informação. 


Ao constatar a ocorrência de não conformidades, a organização deve adotar a ação corretiva de retenção de informação documentada como evidência da responsabilização pessoal dos envolvidos e do trâmite disciplinar correcional. 

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é Errado (E).

Vamos entender por quê. A questão aborda um aspecto importante da gestão de segurança da informação conforme as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013. Mais especificamente, trata-se da maneira como uma organização deve lidar com não conformidades e as ações corretivas pertinentes.

Quando uma organização detecta uma não conformidade, a norma ISO 27001:2013 de fato exige que sejam tomadas ações corretivas. No entanto, a forma de lidar com estas ações deve atender a alguns princípios fundamentais.

A questão afirma que a organização deve adotar a ação corretiva de retenção de informação documentada como evidência da responsabilização pessoal dos envolvidos e do trâmite disciplinar correcional. Essa afirmação está incorreta por várias razões:

1. Ação Corretiva: A norma ISO 27001:2013 requer que as ações corretivas sejam tomadas para eliminar a causa da não conformidade e prevenir sua recorrência. Ela não especifica que a ação deve ser a retenção de documentação para disciplinar indivíduos.

2. Foco na Melhoria Contínua: A ISO 27001 promove um enfoque na melhoria contínua dos processos de segurança da informação. Isso significa que a ação corretiva deve ser voltada para o processo e não para penalizar pessoas.

3. Evidências Documentadas: Embora seja necessário manter evidências documentadas das ações tomadas, essas evidências são utilizadas principalmente para garantir que as soluções implementadas são eficazes e não para fins disciplinares.

4. Abordagem Sistêmica: A abordagem da ISO 27001 é sistêmica e visa a tratar as não conformidades de maneira a fortalecer o sistema de gestão da segurança da informação como um todo, sem focar em atribuição de culpa.

Portanto, a alternativa está incorreta porque a norma não determina que a ação corretiva envolva a retenção de informações documentadas para evidenciar responsabilização pessoal e trâmite disciplinar. Isso contraria os princípios de melhoria contínua e abordagem sistêmica da ISO 27001.

Resumo: A resposta correta é "Errado (E)" porque a norma ISO 27001:2013 enfatiza a eliminação de causas de não conformidade e a prevenção de recorrência, focando em melhorias de processos e não em ações disciplinares contra indivíduos.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

GAB: ERRADO

Não há menção sobre retenção de informação documentada para responsabilização pessoal e trâmite disciplinar correcional.

Fala meus alunos(as)! A questão aborda conhecimentos acerca de Segurança da Informação.

Gabarito: ERRADO.

QUESTÃO: Ao constatar a ocorrência de não conformidades, a organização deve adotar a ação corretiva de retenção de informação documentada como evidência da responsabilização pessoal dos envolvidos e do trâmite disciplinar correcionalERRADA.

Rumo à aprovação meus alunos(as)!

Bons Estudos!

INSTAGRAM: @informaticaconcursos_

De acordo com as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, a gestão de segurança da informação requer a adoção de ações corretivas quando ocorrem não conformidades, mas a ação corretiva de retenção de informação documentada como evidência da responsabilização pessoal dos envolvidos e do trâmite disciplinar correcional não é uma prática recomendada nessas normas.

As normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013 são focadas em fornecer orientações para o estabelecimento, implementação, monitoramento, revisão e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). Elas se concentram em garantir a confidencialidade, integridade e disponibilidade das informações em uma organização.

Quando ocorrem não conformidades, as normas sugerem que a organização adote ações corretivas apropriadas para corrigir as falhas identificadas e prevenir sua recorrência. Essas ações podem incluir, por exemplo, revisão de procedimentos, treinamento adicional, implementação de controles adicionais ou melhorias nos processos de segurança da informação.

No entanto, a retenção de informação documentada como evidência da responsabilização pessoal e do trâmite disciplinar correcional não é uma abordagem prescrita pelas normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013. A gestão de não conformidades deve se concentrar na melhoria do sistema e na prevenção de futuros incidentes de segurança, em vez de buscar a responsabilização pessoal por meio da retenção de informações documentadas.

Portanto, a organização deve adotar ações corretivas apropriadas, conforme recomendado pelas normas, mas a ação corretiva de retenção de informação documentada como evidência da responsabilização pessoal e do trâmite disciplinar correcional não é uma prática descrita nas normas ISO/IEC 27001:2013 e ISO/IEC 27002:2013.

Errado. Ao constatar a ocorrência de não conformidades, a organização deve adotar ações corretivas para resolver o problema e prevenir que ele ocorra novamente. Ações corretivas podem incluir:

  • Implementar novos controles de segurança
  • Treinar os funcionários sobre as melhores práticas de segurança
  • Realizar auditorias de segurança

A retenção de informação documentada como evidência da responsabilização pessoal dos envolvidos e do trâmite disciplinar correcional não é uma ação corretiva. É uma ação preventiva que pode ser tomada para evitar que não conformidades ocorram no futuro.

As normas ABNT NBR ISO/IEC n.º 27001:2013 e ABNT NBR ISO/IEC n.º 27002:2013 exigem que as organizações estabeleçam um sistema de gestão de segurança da informação (SGSI) que inclua um processo de tratamento de não conformidades. O processo de tratamento de não conformidades deve incluir as seguintes etapas:

  1. Identificar a não conformidade.
  2. Avaliar o impacto da não conformidade.
  3. Desenvolver um plano de ação para resolver a não conformidade.
  4. Implementar o plano de ação.
  5. Monitorar a eficácia do plano de ação.

A retenção de informação documentada como evidência da responsabilização pessoal dos envolvidos e do trâmite disciplinar correcional pode ser uma parte do processo de tratamento de não conformidades, mas não é a única ação necessária.

ERRADO!

Quando ocorre uma não conformidade no contexto da gestão de segurança da informação, a organização deve adotar ações corretivas para identificar e eliminar as causas-raiz do problema, garantindo que a não conformidade não ocorra novamente no futuro. Essas ações corretivas podem incluir ajustes nos processos, treinamento dos funcionários, implementação de controles adicionais, entre outros.

A ação corretiva não está relacionada à retenção de informação documentada como forma de responsabilização pessoal dos envolvidos ou trâmite disciplinar correcional. Em vez disso, ela visa melhorar os processos e sistemas para evitar recorrências de não conformidades no futuro.

Portanto, a ação corretiva não envolve a retenção de informação documentada para fins de responsabilização pessoal ou trâmite disciplinar, de acordo com as normas mencionadas.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas