Com relação à ABNT NBR ISO/IEC 27001 de 2013 são realizadas...
Com relação à ABNT NBR ISO/IEC 27001 de 2013 são realizadas as seguintes afirmações:
I. Esta norma adota o modelo Plan-Design-Configure-Analyze (PDCA), que é aplicado para estruturar todos os processos do SGI.
II. Esta norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.
III. A documentação do SGSI deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
IV. A Direção da empresa não deve se envolver com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI.
Em relação a estas afirmações, assinale a alternativa correta:
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: A - Somente as afirmações II e III estão corretas.
Vamos analisar cada uma das afirmações para entender por que a alternativa A é a correta.
Afirmação I: Esta norma adota o modelo Plan-Design-Configure-Analyze (PDCA), que é aplicado para estruturar todos os processos do SGI.
Esta afirmação está incorreta. A norma ISO/IEC 27001 adota o modelo PDCA, mas o ciclo correto é Plan-Do-Check-Act (Planejar-Fazer-Verificar-Agir), e não "Plan-Design-Configure-Analyze". Portanto, a terminologia utilizada na afirmação está errada.
Afirmação II: Esta norma promove a adoção de uma abordagem de processo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.
Esta afirmação está correta. A norma ISO/IEC 27001 de fato promove a adoção de uma abordagem de processo para gerenciar o Sistema de Gestão de Segurança da Informação (SGSI), incluindo todas as etapas mencionadas.
Afirmação III: A documentação do SGSI deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
Esta afirmação está correta. É necessário que a documentação do SGSI contemple registros das decisões da direção, além de garantir que as ações sejam rastreáveis e que os resultados possam ser reproduzidos e verificados.
Afirmação IV: A Direção da empresa não deve se envolver com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI.
Esta afirmação está incorreta. A norma ISO/IEC 27001 enfatiza a importância do envolvimento da direção em todas as fases do SGSI. O comprometimento da alta direção é crucial para garantir a eficácia do sistema de gestão de segurança da informação.
Portanto, ao analisarmos as afirmações:
- A afirmação I está incorreta devido à terminologia errada do ciclo PDCA.
- A afirmação II está correta, pois descreve de forma precisa a abordagem da norma.
- A afirmação III está correta, pois é necessária a documentação adequada no SGSI.
- A afirmação IV está incorreta, pois a direção deve estar envolvida em todas as fases do SGSI.
Assim, a alternativa correta é A - Somente as afirmações II e III estão corretas.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
I - PCDA (Plan, Do, Check, Act)
II - Correto
III - Correto
IV - A Direção da empresa deve estar envolvida com o SGSI
Vamos na fé.
Bem...se é de acordo com a versão 2013, não é estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar, mas apenas estabelecer, implementar, manter e melhorar um SGSI.
Se formos tratar da norma de 2013, a mesma não utiliza mais a abordagem baseada no ciclo PDCA (essa é a abordagem da versão de 2005), o que torna incorreta a alternativa I. A II também está incorreta pois o que infere a característica de ser baseada em processo é justamente o ciclo PDCA (mais uma vez remetendo a versão de 2005). Na norma de 2013 cita várias obrigações da LIDERANÇA, mas que não são os da alternativa III. A alternativa IV está errada para ambas as normas mesmo e é a única que está de acordo com a versão de 2013. Ou seja, questão passível de anulação, apenas por pedir conformidade com a norma de 2013 e não a de 2005.
I - Mais ou menos correta. Na versão 27001:2006, estava explícito o modelo PDCA na norma, mas na versão atual, o modelo PDCA saiu do documento, porém é usado implicitamente.
II - ERRADO. De acordo com a 27001:2013: "A norma prover requisitos para ESTABELECER, IMPLEMENTAR, MANTER e MELHORAR continuamente um SGSI;
.: Obs: Não concordo com o gabarito.
.
.
At.te
Foco na missão ❢
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo