De acordo com a norma ISO/IEC 27001, ao estabelecer um Sist...

Próximas questões
Com base no mesmo assunto
Q1875375 Segurança da Informação
De acordo com a norma ISO/IEC 27001, ao estabelecer um Sistema de Gestão de Segurança da Informação (SGSI), a empresa deve
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Vamos entender a questão sobre a Norma ISO/IEC 27001 e o que é exigido para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI).

Alternativa correta: E - Conduzir suas auditorias internas em intervalos regulares, a partir dos critérios e do escopo definidos para cada uma delas.

Justificativa da alternativa correta:

De acordo com a ISO/IEC 27001, uma das exigências para um SGSI é a condução de auditorias internas regulares. Essas auditorias têm como objetivo avaliar se o SGSI está conforme as políticas e procedimentos estabelecidos e se continua adequado e eficaz. Os critérios e o escopo dessas auditorias devem ser definidos para garantir uma avaliação abrangente do sistema.

Explicação das alternativas incorretas:

A - Utilizar o processo de análise de riscos apresentado na referida norma.

Embora a análise de riscos seja uma parte fundamental da ISO/IEC 27001, a norma não especifica um único processo de análise de riscos. A organização tem a flexibilidade para escolher a metodologia que melhor se adapta às suas necessidades desde que seja sistemática e mensurável.

B - Ter a política do SGSI determinada pelo escritório de segurança da informação da empresa.

A política do SGSI deve ser estabelecida pela alta direção da organização e não exclusivamente pelo escritório de segurança da informação. Envolver a alta direção garante que a política esteja alinhada com os objetivos estratégicos da organização.

C - Ter o escopo do SGSI definido com base nos limites e nas aplicabilidades da referida norma.

O escopo do SGSI deve ser claramente definido pela organização com base em suas próprias necessidades, contexto e requisitos, e não apenas nos limites da norma. A definição do escopo deve considerar os processos, sistemas, locais e ativos que serão gerenciados pelo SGSI.

D - Justificar a omissão de controles necessários que estejam previstos na referida norma por meio do processo de tratamento dos riscos de segurança da informação.

Na ISO/IEC 27001, os controles não são obrigatórios, mas a organização deve justificar a exclusão de quaisquer controles listados na Anexo A da norma através de uma justificativa documentada, e não apenas pelo processo de tratamento de riscos.

Espero que esta explicação tenha ajudado a esclarecer a questão. Se tiver mais dúvidas ou precisar de mais detalhes sobre a ISO/IEC 27001, estou à disposição!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

ISO/IEC 27001:2013

9.2 Auditoria interna

A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre

o quanto o sistema de gestão da segurança da informação:

a) está em conformidade com:

1) os próprios requisitos da organização para o seu sistema de gestão da segurança da

informação;

2) os requisitos desta Norma;

b) está efetivamente implementado e mantido.

Não é o texto literal da questão mas na versão 2013 da norma o tópico 9.2 é o que cobre Auditoria Interna.

Alternativa E.

porque as outras alternativas sao incorretas?

Eu fiquei com a mesma dúvida do Isosisi , e só consegui achar uma explicação da seguinte forma:

"... ao estabelecer um Sistema de Gestão de Segurança ... " - tudo tem a ver com a pequenina preposição inicial desse trecho: "ao".

se fosse um "para estabelecer um Sistema de Gestão de Segurança ... ", estaríamos diante de uma situação na qual o SGSI ainda está na fase do Planejamento, e assim, as alternativas "B" e "C" poderiam figurar como corretas;

mas vendo a intenção do formulador do enunciado ao utilizar a preposição "ao" como sendo a de "situar" o estado do SGSI como já implementado e em operação, e portanto restando definir o que a mais é necessário após isto para que ele seja considerado como estabelecido, é possível entender a letra "E" como a única que se enquadra nesse contexto/fase, ou seja, da fase "Check", pois esta fase situa-se logo após a fase de operação ("Do"), e é nela que se enquadra as ações de auditoria.

As letras "B" e "C" estariam relacionadas ao contexto de planejamento/estabelecimento ("Plan"), e, as letras "A" e "D" estariam relacionadas com o contexto de Operação ("Do").

Apesar de ter feito essa análise, ainda a achei meio forçada... se alguém tiver uma mais plausível, por favor, compartilhe.

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo