Com relação às normas NBR ISO/IEC n.º 27001/2006 e NBR ISO/I...
Com relação às normas NBR ISO/IEC n.º 27001/2006 e NBR ISO/IEC n.º 27002/2005, julgue o item que se segue.
O plano de tratamento de riscos está contido na documentação
do Sistema de Gestão de Segurança da Informação.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: C (certo)
Vamos entender por que o plano de tratamento de riscos está contido na documentação do Sistema de Gestão de Segurança da Informação (SGSI), conforme descrito na NBR ISO/IEC 27001/2006 e NBR ISO/IEC 27002/2005.
As normas ISO/IEC 27001 e ISO/IEC 27002 são padrões internacionais amplamente aceitos para a gestão da segurança da informação. Elas fornecem um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão de segurança da informação (SGSI).
A ISO/IEC 27001 é a norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Esses requisitos incluem a avaliação e o tratamento de riscos de segurança da informação.
O plano de tratamento de riscos é um componente essencial da ISO/IEC 27001. Ele documenta como a organização pretende tratar os riscos identificados, definindo ações, responsabilidades e prazos para mitigar ou eliminar esses riscos. Portanto, é natural que esse plano esteja contido na documentação do SGSI, pois ele orienta as ações para proteger os ativos de informação da organização.
Já a ISO/IEC 27002 fornece diretrizes para os controles de segurança da informação. Ela complementa a ISO/IEC 27001 oferecendo boas práticas e recomendações para a implementação dos controles de segurança necessários para mitigar os riscos.
A questão aborda diretamente a relação entre o plano de tratamento de riscos e a documentação do SGSI. Ao entender que a ISO/IEC 27001 exige a documentação de um plano de tratamento de riscos como parte da gestão da segurança da informação, fica claro por que a alternativa correta é C (certo).
Dessa forma, a correta interpretação das normas facilita a resposta correta:
Justificativa da alternativa correta (C): O plano de tratamento de riscos é uma exigência documentada na ISO/IEC 27001, o que significa que ele deve ser incluído na documentação do SGSI. Este plano auxilia na gestão de riscos, detalhando as ações necessárias para mitigar ou eliminar os riscos identificados.
Alternativa incorreta (E): Se a alternativa fosse "errado", isso indicaria que o plano de tratamento de riscos não estaria contido na documentação do SGSI, o que contradiz diretamente os requisitos da norma ISO/IEC 27001.
Espero que esta explicação tenha ajudado a esclarecer a importância do plano de tratamento de riscos na documentação do SGSI conforme as normas ISO/IEC 27001 e ISO/IEC 27002. Se tiver mais dúvidas, estou à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A documentação do SGSI deve incluir:
a) declarações documentadas da política e objetivos do SGSI;
b) o escopo do SGSI;
c) procedimentos e controles que apoiam o SGSI;
d) uma descrição da metodologia de análise/avaliação de riscos;
e) o relatório de análise/avaliação de riscos;
f) o plano de tratamento de riscos;
g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles;
h) registros requeridos por esta Norma; e
i) a Declaração de Aplicabilidade.
Gabarito: Certo
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos