Considerando a norma ABNT NBR ISO/IEC 27001:2013, julgue o ...

Olá, aluno! A alternativa correta para a questão é: C - certo.

Vamos entender melhor por que essa é a resposta correta.

A norma ABNT NBR ISO/IEC 27001:2013 é um padrão internacional que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Um dos pontos centrais dessa norma é a necessidade de avaliar o desempenho da segurança da informação e a eficácia do SGSI.

De acordo com a norma, a organização deve:
- Avaliar o desempenho da segurança da informação.
- Avaliar a eficácia do SGSI.
- Estabelecer o que precisa ser monitorado e medido.
- Definir os métodos para monitoramento, medição, análise e avaliação.

Vamos analisar cada um desses pontos para entender por que a alternativa está correta:

Avaliar o desempenho da segurança da informação: A norma requer que seja feita uma análise regular e sistemática do desempenho em termos de segurança da informação para garantir que as medidas adotadas são eficazes.

Avaliar a eficácia do SGSI: Além do desempenho das medidas de segurança, a norma também exige uma avaliação contínua da eficácia do sistema de gestão como um todo, o que inclui processos, políticas e controles implementados.

Estabelecer o que precisa ser monitorado e medido: A organização deve definir claramente quais são os parâmetros e indicadores que precisam ser monitorados e medidos para garantir que o SGSI está funcionando conforme esperado.

Definir os métodos para monitoramento, medição, análise e avaliação: É necessário que a organização estabeleça métodos padronizados para realizar o monitoramento, a medição, a análise e a avaliação dos parâmetros de segurança da informação.

Portanto, a alternativa "C - certo" está correta porque a afirmação está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001:2013. A norma realmente determina que a organização deve avaliar o desempenho da segurança da informação e a eficácia do SGSI, assim como estabelece o que precisa ser monitorado e medido, incluindo métodos para monitoramento, medição, análise e avaliação.

Espero que esta explicação tenha ajudado a esclarecer o tema e a questão. Se tiver mais dúvidas, estarei à disposição para ajudar. Bons estudos!

A resposta correta é C - Certo.

De acordo com a norma ABNT NBR ISO/IEC 27001:2013, a organização deve:

- Avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação (SGSI)[1][2][4].

- Estabelecer, entre outros requisitos, o que precisa ser monitorado e medido, assim como os métodos para monitoramento, medição, análise e avaliação.[1][2][4]

Portanto, a afirmação está correta ao descrever esses requisitos presentes na norma ABNT NBR ISO/IEC 27001:2013.

Citations:

[1] https://sti.ufc.br/wp-content/uploads/2021/04/posic-rev6.pdf

[2] https://dokumen.pub/gestao-da-segurana-da-informaao-nbr-27001-e-nbr-27002-1nbsped-978-85-63630-12-4.html

[3] https://www.estrategiaconcursos.com.br/blog/seguranca-informacao-iso-27001-2022/

[4] https://www.normas.com.br/visualizar/abnt-nbr-nm/25074/nbriso-iec27001-seguranca-da-informacao-seguranca-cibernetica-e-protecao-a-privacidade-sistemas-de-gestao-da-seguranca-da-informacao-requisitos

Deveria ter um r no verbo "estabelece" ficando "estabelecer". Do jeito que está, o sujeito do verbo "estabelece" é "a norma" e, como sabemos, não é a noma que estabelece "o que precisa ser monitorado e medido, assim como os métodos para monitoramento, etc", e sim a organização. Errei na prova, entrei com recurso e negaram :(

Alguém tem algum ponto que invalida minha teoria? Eu gostaria de saber...