De acordo com a norma ABNT NBR ISO/IEC 27001 de 2013, a org...

Gabarito: Alternativa A

A norma ABNT NBR ISO/IEC 27001 de 2013 estabelece um conjunto de requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). No contexto dessa norma, as auditorias internas são fundamentais para garantir que o SGSI está em conformidade com os padrões estabelecidos e com os requisitos internos da organização. As auditorias internas devem ser realizadas em intervalos planejados e não simplesmente determinados arbitrariamente pela direção, como sugere a alternativa incorreta.

Vamos analisar a alternativa A e entender o motivo dela ser a incorreta: A organização deve conduzir auditorias internas do SGSI a intervalos determinados pela direção para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI atendem aos requisitos da organização e de seus parceiros. Esta alternativa sugere que os intervalos das auditorias são estabelecidos apenas pela direção, o que não está alinhado com a norma ISO/IEC 27001, que preconiza que os intervalos para auditorias devem ser planejados, baseando-se em critérios objetivos e não na determinação arbitrária da direção.

É importante destacar que a auditoria interna do SGSI tem como objetivo verificar se os processos estão em conformidade com os planejados e se são eficazes, além de garantir que o SGSI está alinhado com os objetivos da política de segurança da informação da organização.

As demais alternativas (B, C, D e E) estão corretas e refletem os princípios da norma, que enfatizam a necessidade de auditorias em intervalos planejados, a observação dos requisitos de segurança da informação, a execução conforme esperado dos controles, processos e procedimentos e a garantia de que estes sejam eficazes e mantenham a segurança da informação. Além disso, ressaltam a importância de se assegurar a objetividade e a imparcialidade do processo de auditoria, com auditores que não auditem o próprio trabalho.

Os intervalos devem ser planejados e não determinados

9.2 Auditoria interna
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:
a) está em conformidade com:
1) os próprios requisitos da organização para o seu sistema de gestão da segurança da informação;
2) os requisitos desta Norma;
b) está efetivamente implementado e mantido.

Organização deve:
a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de auditorias anteriores;
b) definir os critérios e o escopo da auditoria, para cada auditoria;

c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do processo de auditoria;
d) assegurar que os resultados das auditorias são relatados para a direção pertinente.
e) reter a informação documentada como evidência dos programas da auditoria e dos resultados da auditoria.

Norma 27001/2013 pg 14

Ah sim, os requisitos do parceiro nunca estarão no nosso SGSI, a nossa empresa é que estará no deles!

A intervalos determinados???? A norma não diz assim.

"A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o SGSI está em conformidade com os requisitos da organização e com os requisitos desta norma. (...)"

.: Obs: Não concordo com o gabarito. Marquei C.

.

.

.

At.te

Foco na missão ❢

Acredito que a colega Lopes leu o enunciado da questão com desatenção, visto que é pedido a ALTERNATIVA INCORRETA.

O erro da alternativa A, validando como gabarito da questão, está em mencionar intervalos determinados, sendo o correto intervalos planejados

Alternativa A:

"A organização deve conduzir auditorias internas do SGSI a intervalos determinados pela direção......"

"9.2 Auditoria interna

A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:

a) está em conformidade com:

1) os próprios requisitos da organização para o seu sistema de gestão da segurança da informação; ALTERNATIVA C

2) os requisitos desta Norma; ALTERNATIVA B

b) está efetivamente implementado e mantido. ALTERNATIVA E

Organização deve:

a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de auditorias anteriores;

b) definir os critérios e o escopo da auditoria, para cada auditoria;

c) selecionar auditores e conduzir auditorias que assegurem objetividade e imparcialidade do processo de auditoria; ALTERNATIVA D

d) assegurar que os resultados das auditorias são relatados para a direção pertinente.

e) reter a informação documentada como evidência dos programas da auditoria e dos resultados da auditoria.