A norma ABNT NBR ISO/IEC 27001:2013 apresenta como anexo uma...

Próximas questões
Com base no mesmo assunto
Q839309
Segurança da Informação Norma ISO 27001 , ISO 27002 ,
Ano: 2017 Banca: FCC Órgão: TRT - 24ª REGIÃO (MS) Prova: FCC - 2017 - TRT - 24ª REGIÃO (MS) - Técnico Judiciário - Tecnologia da Informação |
Q839309 Segurança da Informação
A norma ABNT NBR ISO/IEC 27001:2013 apresenta como anexo uma tabela com controles e objetivos de controle alinhados com os existentes na norma ABNT NBR ISO/IEC 27002:2013. Uma colaboradora de nível técnico, utilizando os controles relacionados à segurança em processos de desenvolvimento e de suporte dessa tabela deve saber que
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta para a questão é a alternativa E.

Alternativa E: Programas de testes de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.

Essa alternativa está correta porque a ISO/IEC 27002 estabelece que é essencial definir e implementar procedimentos de teste de aceitação antes de colocar novos sistemas de informação, atualizações ou novas versões em operação. Esses testes garantem que o sistema cumpre todos os requisitos especificados e funciona conforme esperado, o que é crucial para a segurança e a funcionalidade do sistema.

Vamos agora analisar por que as outras alternativas estão incorretas:

Alternativa A: Modificações em pacotes de software devem ser encorajadas e não devem estar limitadas apenas às mudanças necessárias, porém, todas as mudanças devem ser documentadas.

Essa afirmação está incorreta. As modificações em pacotes de software devem ser limitadas às mudanças necessárias para evitar riscos desnecessários. A ISO/IEC 27002 recomenda que as mudanças sejam controladas e justificados criteriosamente para manter a integridade e a segurança do sistema.

Alternativa B: Mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas por procedimentos informais de controle de mudanças.

Essa alternativa também está incorreta. A ISO/IEC 27002 recomenda que mudanças em sistemas sejam controladas por procedimentos formais de controle de mudanças. Procedimentos informais não fornecem o rigor necessário para garantir que as mudanças não introduzam vulnerabilidades ou comprometam a segurança do sistema.

Alternativa C: A organização não deve contratar empresas terceirizadas para realizar atividades de desenvolvimento de sistemas de informação.

Essa afirmação está incorreta. A ISO/IEC 27002 não proíbe a contratação de empresas terceirizadas para o desenvolvimento de sistemas de informação. No entanto, ela recomenda que sejam aplicadas medidas adequadas de segurança e que os contratos sejam geridos com cuidados rigorosos para proteger a informação da organização.

Alternativa D: Testes de funcionalidade de segurança devem ser realizados somente quando o sistema estiver pronto.

Essa alternativa está incorreta. Segundo a ISO/IEC 27002, os testes de segurança devem ser realizados em várias fases do desenvolvimento, não apenas quando o sistema está "pronto". Testes contínuos ajudam a identificar e corrigir vulnerabilidades desde cedo, o que é mais eficiente e seguro.

Espero que essa explicação tenha sido útil para entender não só a resposta correta, mas também as razões pelas quais as outras alternativas estão incorretas. Caso tenha mais dúvidas, estarei aqui para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Analisando as alternativas de acordo com a norma referida acima:

 

a) modificações em pacotes de software devem ser encorajadas e não devem estar limitadas apenas às mudanças necessárias, porém, todas as mudanças devem ser documentadas. 

Errada. Modificações devem ser feitas quando são necessárias e não encorajadas para serem alteradas.

 

b) mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas por procedimentos informais de controle de mudanças. 

Errada. Mudanças devem ser formalidadas (com regras, com padrões aceitos etc).

 

c)  a organização não deve contratar empresas terceirizadas para realizar atividades de desenvolvimento de sistemas de informação. 

Errada. A organização pode contratar empresas terceirizadas para tal atividade.

 

d) testes de funcionalidade de segurança devem ser realizados somente quando o sistema estiver pronto. 

Errada. Os testes de funcionalidade de segurança devem ser realizados SEMPRE!

Segundo a norma 27001:2013 , pág. 76:

 

"14.2.9 Teste de aceitação de sistemas

Controle

Convém que programas de testes de aceitação e critérios relacionados sejam estabelecidos para novos sistemas de informação, atualizações e novas versões."

ISO 27001:2013-

 os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.Grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes. programas de testes de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas