Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
Independentemente das circunstâncias técnicas e econômicas
da organização, devem-se aplicar rigorosamente controles
físicos padronizados em norma técnica internacional às áreas
seguras da organização relacionadas ao manuseio de
informação negocial.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: Errado
A questão aborda um ponto crucial das normas NBR ISO/IEC 27001, 27002 e 27005, que é a aplicação de controles físicos nas áreas seguras da organização no contexto de um Plano de Continuidade de Negócios. Vamos entender o porquê da resposta ser Errado.
O enunciado afirma que, independentemente das circunstâncias técnicas e econômicas da organização, devem-se aplicar rigorosamente controles físicos padronizados em norma técnica internacional às áreas seguras da organização relacionadas ao manuseio de informação negocial.
Essa afirmação está incorreta porque as normas ISO/IEC 27001, 27002 e 27005, que tratam de segurança da informação, fornecem diretrizes e melhores práticas, mas não impõem a aplicação rígida e invariável de controles físicos padronizados. Em vez disso, essas normas enfatizam a importância de uma abordagem baseada em risco e a adequação à realidade da organização.
Vamos detalhar os pontos-chave:
1. Abordagem baseada em risco: As normas ISO incentivam que as organizações realizem uma análise de riscos para identificar quais ameaças e vulnerabilidades específicas elas enfrentam. Com base nessa análise, a organização deve definir e implementar controles que sejam apropriados e proporcionais aos riscos identificados. Isso significa que não existe uma "tabela rígida" de controles que todas as organizações devem seguir cegamente.
2. Adequação às circunstâncias: As normas também reconhecem que cada organização é única e possui diferentes recursos técnicos e econômicos. Portanto, a implementação dos controles de segurança deve ser feita de acordo com essas circunstâncias, visando um equilíbrio entre custo e benefício. Aplicar controles físicos padronizados sem considerar a realidade da organização pode ser inviável ou até contraproducente.
Logo, a afirmação de que controles físicos padronizados devem ser aplicados independentemente das circunstâncias técnicas e econômicas da organização está em desacordo com os princípios fundamentais das normas ISO/IEC 27001, 27002 e 27005.
Espero que esta explicação tenha esclarecido o motivo pelo qual a resposta correta é Errado. Se tiver mais dúvidas ou precisar de mais detalhes sobre o tema, sinta-se à vontade para perguntar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Questão em desconformidade com a 27002.
A norma afirma justamente o contrário.
11.1 Convém que a aplicação de controles físicos, especialmente para as áreas seguras sejam adaptadas
para as circunstâncias técnicas e econoômicas da organização, como definido na avaliação de riscos.
É necessário reiterar que os procedimentos relacionados aos controles físicos são definidos de acordo com o contexto da organização. O controle de entrada em uma sala cofre certamente deve possuir rigor diferente daqueles definidos para entrada na portaria da empresa.
Gab: Errado.
Foco!
JUSTIFICATIVA: ERRADO. Convém que a aplicação de controles físicos, especialmente para as áreas seguras sejam adaptadas para as circunstâncias técnicas e econômicas da organização, como definido na avaliação de riscos. (NBR ISO/IEC 27002:2013)
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo