A norma ABNT NBR ISO/IEC 27004:2010 recomenda que se estabel...

A alternativa correta é a B - Desenvolvimento de medidas e medição, Operação da medição, Relato dos resultados da análise de dados e da medição e Avaliação e melhoria do PMSI.

A norma ABNT NBR ISO/IEC 27004:2010 estabelece diretrizes para a medição da eficácia da segurança da informação dentro de uma organização. Para isso, ela recomenda a criação e gestão de um Programa de Medição de Segurança da Informação (PMSI), utilizando o modelo PDCA (Plan-Do-Check-Act) para garantir a melhoria contínua nas atividades de medição.

Vamos analisar as alternativas de forma detalhada:

Alternativa A: Definição da Estratégia de medição, Projeto da medição, Operação da Medição e Melhoria Contínua do PMSI. Apesar de estar próxima, essa alternativa não cobre todas as etapas recomendadas pela norma, como o relato dos resultados e a análise de dados, que são essenciais para o ciclo completo de medição.

Alternativa B (CORRETA): Desenvolvimento de medidas e medição, Operação da medição, Relato dos resultados da análise de dados e da medição e Avaliação e melhoria do PMSI. Esta alternativa abrange todas as etapas recomendadas pela norma, desde o desenvolvimento das medidas até a avaliação e melhoria contínua do programa.

Alternativa C: Planejamento da medição, Execução da medição, Avaliação do PMSI e Ajuste no PMSI. Embora contemple etapas importantes, esta alternativa não menciona o relato dos resultados, que é um elemento crucial para a transparência e para a tomada de decisões informadas.

Alternativa D: Definição do escopo da medição, Levantamento de requisitos de medição, Execução da medição e Análise dos resultados da medição. Esta alternativa cobre algumas etapas importantes, mas não aborda a operação da medição de forma detalhada e omite a avaliação e melhoria contínua do PMSI.

Alternativa E: Planejamento da medição, Operação da medição, Verificação da Medição e Relato dos resultados para a alta gestão. Esta alternativa menciona a verificação da medição e o relato dos resultados, mas não inclui a avaliação e melhoria contínua do PMSI, que são componentes essenciais conforme a norma.

Para resolver essa questão, é necessário entender os processos recomendados pela norma ABNT NBR ISO/IEC 27004:2010, que incluem tanto a medição propriamente dita quanto a análise e melhoria contínua dos processos de medição. A alternativa B é a única que abrange todas essas etapas de maneira adequada.

O item 5.2 da norma (desculpem pela versão em inglês. Não traduzi para evitar perda de informação):

An Information Security Measurement Programme should include the following processes:

a)  Measures and measurement development (see Clause 7) ;

b)  Measurement operation (see Clause 8);

c)  Data analysis and measurement results reporting (see Clause 9); and

d)  Information Security Measurement Programme evaluation and improvement (see Clause 10).

Gabarito: alternativa B

Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos:

desenvolvimento de medidas e medição (ver Seção 7);

operação da medição (ver Seção 8);

relato dos resultados da análise de dados e da medição (ver Seção 9);

e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10).

Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.

https://qualidadeonline.wordpress.com/2017/02/03/da-para-medir-a-eficacia-da-seguranca-da-informacao-em-sua-empresa/

pow mano, iso 27004 tbm? já basta a 27002, 27001 e 27005?