Considerando a norma ABNT NBR ISO/IEC 27001:2013, julgue o i...

Olá, aluno! A alternativa correta para a questão é E (Errado). Vamos entender por quê.

A norma ABNT NBR ISO/IEC 27001:2013 é uma norma internacional que fornece requisitos para um sistema de gestão da segurança da informação (SGSI). Seu principal objetivo é garantir a segurança das informações dentro de uma organização, protegendo-a contra ameaças, vulnerabilidades e riscos que poderiam comprometer a confidencialidade, integridade e disponibilidade das informações.

Então, o que está errado na afirmação dada na questão?

A afirmação diz que a norma inclui "práticas de gestão de segurança da informação e normas de segurança da informação, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização".

Vamos analisar ponto a ponto:

• A norma realmente trata de práticas de gestão de segurança da informação.

• No entanto, a norma não trata especificamente sobre “normas de segurança da informação”, mas sim sobre requisitos de um sistema de gestão da segurança da informação.

• A norma envolve a seleção, implementação e gerenciamento de controles, o que está correto.

• Ela também leva em consideração os riscos da segurança da informação, mas o termo "ambientes de risco" não é tecnicamente preciso. A ISO 27001 foca na avaliação e tratamento de riscos, não necessariamente na definição de "ambientes de risco".

Dessa forma, a afirmação é considerada Errada (E) porque apresenta uma interpretação imprecisa da norma, principalmente ao mencionar "normas de segurança da informação" e "ambientes de risco".

Resumo:

• A ISO/IEC 27001:2013 não trata de "normas de segurança da informação", mas sim de requisitos para um sistema de gestão da segurança da informação.
• O termo "ambientes de risco" não é uma expressão precisa dentro do contexto da norma. A norma aborda a gestão de riscos, o que é diferente.

Espero que essa explicação tenha ajudado a compreender melhor a questão e os conceitos envolvidos na ISO 27001. Se tiver mais dúvidas, estou à disposição para ajudar!

A ISO 27002 irá sugerir a implementação dos controles necessários para a organização. Alguns controles exigem justificativa caso a organização não o implemente.

Pra mim, o erro está em afirmar que a ISO27001 trata das práticas. As práticas estão na ISO27002. A ISO27001 trata apenas dos requisitos de um Sistema de Gestão de Segurança da Informação.

Eu colocava Recuso na prova:

O item está correto ao afirmar que a NBR ISO/IEC 27001:2013 lida com práticas de gestão de segurança da informação, a seleção, implementação e gerenciamento de controles, considerando os ambientes de risco da organização.

A norma aborda vários aspectos importantes, como:

1. Gestão de riscos: A norma orienta as organizações a identificarem, analisarem e tratarem os riscos à segurança da informação. Isso inclui a seleção de controles apropriados para mitigar esses riscos, o que está em linha com o que é mencionado na questão.
2. Controles de segurança: A ISO/IEC 27001 se concentra na implementação de controles baseados na análise de risco da organização. Esses controles são selecionados com base nos riscos identificados para garantir a proteção da confidencialidade, integridade e disponibilidade da informação.
3. Ambientes de risco: A norma enfatiza que o contexto organizacional e seus ambientes de risco devem ser avaliados continuamente para garantir que os controles de segurança sejam eficazes diante de ameaças e vulnerabilidades novas ou em evolução.