Com relação à ABNT NBR ISO/IEC 27001 de 2013 são realizadas...

Próximas questões
Com base no mesmo assunto
Q625003 Segurança da Informação

Com relação à ABNT NBR ISO/IEC 27001 de 2013 são realizadas as seguintes afirmações:


I. Esta norma adota o modelo Plan-Design-Configure-Analyze (PDCA), que é aplicado para estruturar todos os processos do SGI.

II. Esta norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

III. A documentação do SGSI deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.

IV. A Direção da empresa não deve se envolver com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI.


Em relação a estas afirmações, assinale a alternativa correta: 

Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: A - Somente as afirmações II e III estão corretas.

Vamos analisar cada uma das afirmações para entender por que a alternativa A é a correta.

Afirmação I: Esta norma adota o modelo Plan-Design-Configure-Analyze (PDCA), que é aplicado para estruturar todos os processos do SGI.

Esta afirmação está incorreta. A norma ISO/IEC 27001 adota o modelo PDCA, mas o ciclo correto é Plan-Do-Check-Act (Planejar-Fazer-Verificar-Agir), e não "Plan-Design-Configure-Analyze". Portanto, a terminologia utilizada na afirmação está errada.

Afirmação II: Esta norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

Esta afirmação está correta. A norma ISO/IEC 27001 de fato promove a adoção de uma abordagem de processo para gerenciar o Sistema de Gestão de Segurança da Informação (SGSI), incluindo todas as etapas mencionadas.

Afirmação III: A documentação do SGSI deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.

Esta afirmação está correta. É necessário que a documentação do SGSI contemple registros das decisões da direção, além de garantir que as ações sejam rastreáveis e que os resultados possam ser reproduzidos e verificados.

Afirmação IV: A Direção da empresa não deve se envolver com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI.

Esta afirmação está incorreta. A norma ISO/IEC 27001 enfatiza a importância do envolvimento da direção em todas as fases do SGSI. O comprometimento da alta direção é crucial para garantir a eficácia do sistema de gestão de segurança da informação.

Portanto, ao analisarmos as afirmações:

- A afirmação I está incorreta devido à terminologia errada do ciclo PDCA.

- A afirmação II está correta, pois descreve de forma precisa a abordagem da norma.

- A afirmação III está correta, pois é necessária a documentação adequada no SGSI.

- A afirmação IV está incorreta, pois a direção deve estar envolvida em todas as fases do SGSI.

Assim, a alternativa correta é A - Somente as afirmações II e III estão corretas.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

I - PCDA (Plan, Do, Check, Act)

II - Correto

III - Correto

IV - A Direção da empresa deve estar envolvida com o SGSI

 

Vamos na fé.

Bem...se é de acordo com a versão 2013, não é estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar, mas apenas estabelecer, implementar, manter e melhorar um SGSI.

 

Se formos tratar da norma de 2013, a mesma não utiliza mais a abordagem baseada no ciclo PDCA (essa é a abordagem da versão de 2005), o que torna incorreta a alternativa I. A II também está incorreta pois o que infere a característica de ser baseada em processo é justamente o ciclo PDCA (mais uma vez remetendo a versão de 2005). Na norma de 2013 cita várias obrigações da LIDERANÇA, mas que não são os da alternativa III. A alternativa IV está errada para ambas as normas mesmo e é a única que está de acordo com a versão de 2013. Ou seja, questão passível de anulação, apenas por pedir conformidade com a norma de 2013 e não a de 2005.

I - Mais ou menos correta. Na versão 27001:2006, estava explícito o modelo PDCA na norma, mas na versão atual, o modelo PDCA saiu do documento, porém é usado implicitamente.

 

II - ERRADO. De acordo com a 27001:2013: "A norma prover requisitos para ESTABELECER, IMPLEMENTAR, MANTER e MELHORAR continuamente um SGSI;

 

.: Obs: Não concordo com o gabarito.

.

.

At.te

Foco na missão ❢

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo