Os procedimentos de classificação da informação quanto ao s...
Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é C - certo.
Vamos entender o porquê.
O enunciado da questão aborda a importância de realizar a classificação da informação quanto ao sigilo, e afirma que isso não pode ser concluído sem uma investigação dos riscos à confidencialidade, integridade e disponibilidade da informação. Esses três conceitos são conhecidos como a tríade CID e são fundamentais na Segurança da Informação.
A confidencialidade garante que a informação seja acessível apenas às pessoas autorizadas. A integridade assegura que a informação não seja alterada de maneira inadequada ou não autorizada. Já a disponibilidade garante que a informação esteja acessível e utilizável sob demanda por uma entidade autorizada.
De acordo com a ISO/IEC 27002, uma norma internacional que fornece diretrizes para a gestão da segurança da informação, a classificação da informação é um processo crucial que deve considerar os riscos à CID para determinar o nível de proteção necessário para cada tipo de informação.
Agora, vamos justificar a alternativa correta:
A afirmação de que "Os procedimentos de classificação da informação quanto ao sigilo não podem ser concluídos sem que sejam investigados os riscos à perda de confidencialidade, integridade e disponibilidade da informação" é correta porque, conforme a ISO/IEC 27002, a classificação da informação deve ser baseada em uma análise dos riscos envolvidos. Sem essa análise, não é possível determinar adequadamente o grau de sigilo necessário para proteger a informação.
Como não há alternativas incorretas a serem analisadas, o foco é apenas na justificativa da escolha correta.
Espero que essa explicação tenha sido clara e tenha ajudado a entender a importância da tríade CID na classificação da informação. Qualquer dúvida, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A classificação da informação não deveria vir antes da investigação dos riscos?
CERTO
Basta fazer uma análise crítica: Como eu vou classificsar uma informação e o seu nível de sigilo sem saber a confidencialidade, a integridade e a disponibilidade relacionadas à informação a ser classificada?
Primeiro devemos fazer uma Análise/Avaliação de riscos, depois classificar os riscos conforme os critérios pré-estabelecidos pela organização!
Classificação da informação
Controle
A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação (PERDA DE INTEGRIDADE) ou divulgação ( PERDA DE CONFIDENCIALIDADE) não autorizada.
FONTE: ISO 27001
por que eu tenho que saber os riscos quanto à perda de disponibilidade da informação para poder classificá-la quanto ao sigilo?
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos