Os procedimentos de auditoria interna de segurança da infor...
Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é C - certo.
Vamos entender por que essa é a alternativa correta e como ela se relaciona com os conceitos de segurança da informação e a Norma ISO 27001.
A ISO 27001 é uma norma internacional que descreve as melhores práticas para um Sistema de Gestão de Segurança da Informação (SGSI). Ela é amplamente utilizada para gerenciar e proteger informações sensíveis, assegurando que permaneçam seguras.
Os procedimentos de auditoria interna de segurança da informação são essenciais para garantir que as políticas e controles implementados estão sendo seguidos corretamente e que a organização está em conformidade com a norma ISO 27001. No entanto, não basta apenas seguir os requisitos da norma; é crucial também considerar a legislação aplicável e existente sobre o tema, especialmente no âmbito da administração pública federal.
Na administração pública, existem regulamentos e diretrizes adicionais que devem ser observados para garantir que a segurança da informação atenda a todos os requisitos legais e normativos. Ignorar essas legislações pode levar a inconformidades, que podem resultar em penalidades ou comprometer a segurança da informação.
Portanto, a afirmação de que os procedimentos de auditoria interna precisam considerar tanto as normas aplicáveis, como a NBR 27001:2006, quanto a legislação aplicável, está correta. Esse entendimento é fundamental para garantir uma abordagem abrangente e eficaz na auditoria de segurança da informação.
Analisando as alternativas:
C - certo: Esta alternativa está correta porque reconhece a necessidade de considerar tanto os requisitos normatizados, como a NBR 27001:2006, quanto a legislação aplicável. Essa abordagem é essencial para garantir que a auditoria interna seja completa e atenda a todas as exigências legais, especialmente na administração pública federal.
E - errado: Esta alternativa seria incorreta se afirmasse que apenas as normas como a NBR 27001 devem ser consideradas, desprezando a legislação aplicável. Isso resultaria em uma auditoria incompleta e potencialmente não conforme.
Espero que essa explicação tenha ajudado a entender por que a alternativa correta é a letra C - certo. Lembre-se de que uma abordagem completa e abrangente na segurança da informação é essencial para a conformidade e a proteção eficaz dos dados.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo:Evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas á segurança da informação e de quaisquer requisitos de segurança.
A.18.1.1 IDENTIFICAÇÃO DA LEGISLAÇÃO APLICÁVEL e de requisitos contratuais
Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses
requisitos, devem ser explicitamente identificados, documentados e mantidos atualizados para cada sistema de informação da organização.
Fonte: ISO NBR/IEC 27001: 2013, pág. 30
GABARITO: CERTO.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos