Considerando a norma ABNT NBR ISO/IEC 27001:2013, julgue o i...
Considerando a norma ABNT NBR ISO/IEC 27001:2013, julgue o item a seguir.
A citada norma tem como escopo práticas de gestão de
segurança da informação e normas de segurança da
informação, incluindo a seleção, a implementação e o
gerenciamento de controles, levando em consideração os
ambientes de risco da segurança da informação da
organização.
A ISO 27002 irá sugerir a implementação dos controles necessários para a organização. Alguns controles exigem justificativa caso a organização não o implemente.
Pra mim, o erro está em afirmar que a ISO27001 trata das práticas. As práticas estão na ISO27002. A ISO27001 trata apenas dos requisitos de um Sistema de Gestão de Segurança da Informação.
Olá, aluno! A alternativa correta para a questão é E (Errado). Vamos entender por quê.
A norma ABNT NBR ISO/IEC 27001:2013 é uma norma internacional que fornece requisitos para um sistema de gestão da segurança da informação (SGSI). Seu principal objetivo é garantir a segurança das informações dentro de uma organização, protegendo-a contra ameaças, vulnerabilidades e riscos que poderiam comprometer a confidencialidade, integridade e disponibilidade das informações.
Então, o que está errado na afirmação dada na questão?
A afirmação diz que a norma inclui "práticas de gestão de segurança da informação e normas de segurança da informação, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização".
Vamos analisar ponto a ponto:
A norma realmente trata de práticas de gestão de segurança da informação.
No entanto, a norma não trata especificamente sobre “normas de segurança da informação”, mas sim sobre requisitos de um sistema de gestão da segurança da informação.
A norma envolve a seleção, implementação e gerenciamento de controles, o que está correto.
Ela também leva em consideração os riscos da segurança da informação, mas o termo "ambientes de risco" não é tecnicamente preciso. A ISO 27001 foca na avaliação e tratamento de riscos, não necessariamente na definição de "ambientes de risco".
Dessa forma, a afirmação é considerada Errada (E) porque apresenta uma interpretação imprecisa da norma, principalmente ao mencionar "normas de segurança da informação" e "ambientes de risco".
Resumo:
- A ISO/IEC 27001:2013 não trata de "normas de segurança da informação", mas sim de requisitos para um sistema de gestão da segurança da informação.
- O termo "ambientes de risco" não é uma expressão precisa dentro do contexto da norma. A norma aborda a gestão de riscos, o que é diferente.
Espero que essa explicação tenha ajudado a compreender melhor a questão e os conceitos envolvidos na ISO 27001. Se tiver mais dúvidas, estou à disposição para ajudar!