Considerando as normas que regulam a segurança da informação...

Olá, aluno!

Vamos discutir a questão sobre a implementação do Sistema de Gestão de Segurança da Informação (SGSI) e os objetivos de controle.

Gabarito: C (Certo)

A alternativa correta é a C (certo). Agora, vamos entender o porquê.

Ao estabelecer um SGSI (Sistema de Gestão de Segurança da Informação), a organização deve seguir uma série de etapas e práticas recomendadas pelas normas de segurança da informação, tais como a ISO/IEC 27001. Uma dessas etapas críticas é a análise e avaliação de riscos, seguida pelo tratamento de riscos.

A análise e a avaliação de riscos são processos essenciais para identificar e compreender as ameaças e vulnerabilidades que podem comprometer a segurança da informação da organização. Durante essas etapas, são identificados os riscos que precisam ser gerenciados.

Com base na identificação desses riscos, a organização deve selecionar e implementar objetivos de controle. Esses objetivos são as diretrizes e medidas práticas que visam mitigar os riscos identificados, garantindo que a segurança da informação esteja alinhada com os requisitos de proteção da organização.

Assim, a afirmação da questão está correta ao dizer que a organização precisa selecionar e implementar esses objetivos de controle para atender aos requisitos encontrados durante a análise, avaliação e tratamento de riscos.

Para reforçar os conceitos:

• Análise de Riscos: Processo de identificação dos ativos, ameaças e vulnerabilidades, bem como a avaliação do impacto e da probabilidade dos riscos.
• Tratamento de Riscos: Processo de selecionar as opções para lidar com os riscos, que pode incluir a mitigação, transferência, aceitação ou eliminação dos riscos.
• Objetivos de Controle: Medidas específicas e práticas que são implementadas para reduzir os riscos a um nível aceitável.

Espero que essa explicação tenha ajudado a entender melhor o tema e a importância do SGSI na segurança da informação. Se tiver mais dúvidas, estarei aqui para ajudar!

JUSTIFICATIVA CEBRASPE: CERTO.

Segundo a NBR ISO/IEC n.º 27001, ao estabelecer o SGSI, objetivos de controle deve ser selecionados e implementados pela organização, para atender aos requisitos identificados pelos responsáveis pelas etapas de análise e avaliação de riscos e de processo de tratamento de riscos.

FONTE: https://arquivos.qconcursos.com/prova/arquivo_gabarito/83437/cespe-cebraspe-2021-pg-df-analista-juridico-analista-de-sistema-desenvolvimento-de-sistema-gabarito.pdf?_ga=2.268934641.1676441036.1634834989-804191472.1621542668&_gac=1.148266309.1636415885.Cj0KCQiAsqOMBhDFARIsAFBTN3fprraZgGJbpWTl4j2E5X2D_hkvsouR-BFLacSnDATQFiS2gsajuTQaAq_tEALw_wcB

A assertiva em análise refere-se ao item 6.1 da norma 27001, não faria sentido a organização selecionar controles se não fossem realizados os processos de análise e avaliação de riscos e de processo de tratamento de riscos.

Gab: Certo.

Foco!

JUSTIFICATIVA: CERTO. Segundo a NBR ISO/IEC n.º 27001, ao estabelecer o SGSI, objetivos de controle deve ser selecionados e implementados pela organização, para atender aos requisitos identificados pelos responsáveis pelas etapas de análise e avaliação de riscos e de processo de tratamento de riscos