A Norma Complementar n.º 2/IN01/DSIC define a metodologia d...

Alternativa Correta: D

Explicação sobre o tema:

A questão aborda a metodologia de gestão de segurança da informação e comunicações baseada no Ciclo PDCA (Plan-Do-Check-Act), conforme referenciado na Norma ABNT NBR ISO/IEC 27001:2006. É essencial para os órgãos e entidades da Administração Pública Federal seguir esse ciclo para garantir a eficácia na gestão da segurança da informação.

O Ciclo PDCA é uma ferramenta de gestão que visa a melhoria contínua dos processos e é composto por quatro fases:

• Plan (Planejar): Definir os objetivos e processos necessários para entregar resultados de acordo com os requisitos estabelecidos.
• Do (Fazer): Implementar os processos planejados.
• Check (Checar): Monitorar e medir os processos em relação às políticas, objetivos e requisitos, e relatar os resultados.
• Act (Agir): Executar ações para melhorar continuamente o desempenho do sistema de gestão.

Justificativa da alternativa correta:

A alternativa D está correta porque descreve uma ação típica da fase Act do Ciclo PDCA. Na fase Act, são executadas ações corretivas ou preventivas de acordo com a identificação de não conformidades reais ou potenciais. Isso visa garantir a melhoria contínua do sistema de gestão da segurança da informação.

Análise das alternativas incorretas:

A: Fazer análises críticas regulares, a intervalos planejados, é uma atividade da fase Check, onde se verifica se os processos estão funcionando conforme planejado.

B: Definir como medir a eficácia das ações de segurança da informação e comunicações pertence à fase Plan, onde se estabelecem os parâmetros e métricas para o monitoramento.

C: Definir o escopo e os limites das ações é uma tarefa da fase Plan, na qual se planeja o que será feito e quais áreas serão cobertas.

E: Implementar o plano de metas está relacionado à fase Do, onde se coloca em prática o que foi planejado.

Portanto, é essencial entender as características de cada fase do Ciclo PDCA para identificar corretamente as ações correspondentes a cada uma delas.

GABARITO " D "

Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
 
Do (fazer) (implementar e operar o SGSI)
Implementar e operar a política, controles, processos e procedimentos do SGSI.
 
Check (checar) (monitorar e analisar criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do
SGSI e apresentar os resultados para a análise crítica pela direção.
 
Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.