Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...

A alternativa correta é E - errado.

A questão aborda a classificação da informação no contexto das normas ISO/IEC 27001, 27002 e 27005. Essas normas são padrões internacionais para a gestão de segurança da informação, fornecendo uma estrutura para proteger dados e gerenciar riscos.

A ISO/IEC 27001 é um padrão para sistemas de gestão de segurança da informação (SGSI), enquanto a ISO/IEC 27002 fornece diretrizes para controles de segurança. A ISO/IEC 27005, por sua vez, trata especificamente da gestão de riscos de segurança da informação.

O objetivo da classificação da informação é identificar o nível de sensibilidade de cada tipo de dado dentro da organização, e assim determinar as medidas de proteção apropriadas. Isso significa que a informação deve ser categorizada de forma que receba um nível adequado de proteção, de acordo com sua importância e sensibilidade, e não necessariamente o nível máximo de proteção disponível.

Portanto, a afirmação de que “o objetivo da classificação da informação é assegurar que todas as informações produzidas pela organização recebam os níveis máximos de proteção e sigilo disponíveis” está incorreta. A classificação visa a uma proteção proporcional e adequada, e não ao nível máximo para todas as informações.

Explicando os pontos principais:

Classificação da Informação: Este processo envolve determinar a sensibilidade e o valor da informação, categorizando-a em níveis como confidencial, restrita, interna e pública.

Proteção Proporcional: A informação deve ser protegida de acordo com seu nível de sensibilidade. Informações consideradas confidenciais, por exemplo, exigem medidas de proteção mais rigorosas do que informações públicas.

Normas ISO/IEC 27001, 27002 e 27005: Essas normas guiam a implementação de um sistema de gestão de segurança da informação, a definição de controles apropriados e a gestão de riscos, respectivamente.

Compreender esses conceitos é essencial para resolver questões sobre segurança da informação em concursos, pois permite identificar afirmações incorretas e entender a aplicação prática das normas.

Se houver mais alguma dúvida ou se precisar de mais esclarecimentos sobre o tema, estou à disposição!

Objetivo: prover requisitos para estabelecer, implementar, manter e melhorar continuamente (EIMM) um Sistema de Gestão de Segurança da Informação (SGSI).

O SGSI busca preservar a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas (partes internas e externas).

O objetivo da classificação da informação é assegurar que todas as informações produzidas pela organização recebam os níveis adequados de proteção e sigilo, conforme o que for definido pela organização

Complementando o comentário do Artur, não haveria necessidade de um sistema de classificação com níveis, caso todas as informações recebessem o nível máximo de proteção e sigilo disponíveis.

Dentro das organizações existem informações com graus de confidencialidade diferentes, cabe a organização de acordo com seus critérios definir o nível adequado para as informações.

Logo, gabarito errado.

Foco!

CESPE cobrou uma questão igual em 2008

Os planos de continuidade de negócios devem ser mantidos atualizados e garantir que as informações sejam classificadas de acordo com seu grau de sigilo preconizado pela política de classificação das informações.

ERRADO

JUSTIFICATIVA: ERRADO. 8.2 Classificação da informação Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização. (NBR ISO/IEC 27002:2013)