Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...

Gabarito: Errado

A questão aborda um ponto crucial das normas NBR ISO/IEC 27001, 27002 e 27005, que é a aplicação de controles físicos nas áreas seguras da organização no contexto de um Plano de Continuidade de Negócios. Vamos entender o porquê da resposta ser Errado.

O enunciado afirma que, independentemente das circunstâncias técnicas e econômicas da organização, devem-se aplicar rigorosamente controles físicos padronizados em norma técnica internacional às áreas seguras da organização relacionadas ao manuseio de informação negocial.

Essa afirmação está incorreta porque as normas ISO/IEC 27001, 27002 e 27005, que tratam de segurança da informação, fornecem diretrizes e melhores práticas, mas não impõem a aplicação rígida e invariável de controles físicos padronizados. Em vez disso, essas normas enfatizam a importância de uma abordagem baseada em risco e a adequação à realidade da organização.

Vamos detalhar os pontos-chave:

1. Abordagem baseada em risco: As normas ISO incentivam que as organizações realizem uma análise de riscos para identificar quais ameaças e vulnerabilidades específicas elas enfrentam. Com base nessa análise, a organização deve definir e implementar controles que sejam apropriados e proporcionais aos riscos identificados. Isso significa que não existe uma "tabela rígida" de controles que todas as organizações devem seguir cegamente.

2. Adequação às circunstâncias: As normas também reconhecem que cada organização é única e possui diferentes recursos técnicos e econômicos. Portanto, a implementação dos controles de segurança deve ser feita de acordo com essas circunstâncias, visando um equilíbrio entre custo e benefício. Aplicar controles físicos padronizados sem considerar a realidade da organização pode ser inviável ou até contraproducente.

Logo, a afirmação de que controles físicos padronizados devem ser aplicados independentemente das circunstâncias técnicas e econômicas da organização está em desacordo com os princípios fundamentais das normas ISO/IEC 27001, 27002 e 27005.

Espero que esta explicação tenha esclarecido o motivo pelo qual a resposta correta é Errado. Se tiver mais dúvidas ou precisar de mais detalhes sobre o tema, sinta-se à vontade para perguntar!

Questão em desconformidade com a 27002.

A norma afirma justamente o contrário.

11.1 Convém que a aplicação de controles físicos, especialmente para as áreas seguras sejam adaptadas

para as circunstâncias técnicas e econoômicas da organização, como definido na avaliação de riscos.

É necessário reiterar que os procedimentos relacionados aos controles físicos são definidos de acordo com o contexto da organização. O controle de entrada em uma sala cofre certamente deve possuir rigor diferente daqueles definidos para entrada na portaria da empresa.

Gab: Errado.

Foco!

JUSTIFICATIVA: ERRADO. Convém que a aplicação de controles físicos, especialmente para as áreas seguras sejam adaptadas para as circunstâncias técnicas e econômicas da organização, como definido na avaliação de riscos. (NBR ISO/IEC 27002:2013)