De acordo com a norma ISO/IEC 27001, ao estabelecer um Sist...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos entender a questão sobre a Norma ISO/IEC 27001 e o que é exigido para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI).
Alternativa correta: E - Conduzir suas auditorias internas em intervalos regulares, a partir dos critérios e do escopo definidos para cada uma delas.
Justificativa da alternativa correta:
De acordo com a ISO/IEC 27001, uma das exigências para um SGSI é a condução de auditorias internas regulares. Essas auditorias têm como objetivo avaliar se o SGSI está conforme as políticas e procedimentos estabelecidos e se continua adequado e eficaz. Os critérios e o escopo dessas auditorias devem ser definidos para garantir uma avaliação abrangente do sistema.
Explicação das alternativas incorretas:
A - Utilizar o processo de análise de riscos apresentado na referida norma.
Embora a análise de riscos seja uma parte fundamental da ISO/IEC 27001, a norma não especifica um único processo de análise de riscos. A organização tem a flexibilidade para escolher a metodologia que melhor se adapta às suas necessidades desde que seja sistemática e mensurável.
B - Ter a política do SGSI determinada pelo escritório de segurança da informação da empresa.
A política do SGSI deve ser estabelecida pela alta direção da organização e não exclusivamente pelo escritório de segurança da informação. Envolver a alta direção garante que a política esteja alinhada com os objetivos estratégicos da organização.
C - Ter o escopo do SGSI definido com base nos limites e nas aplicabilidades da referida norma.
O escopo do SGSI deve ser claramente definido pela organização com base em suas próprias necessidades, contexto e requisitos, e não apenas nos limites da norma. A definição do escopo deve considerar os processos, sistemas, locais e ativos que serão gerenciados pelo SGSI.
D - Justificar a omissão de controles necessários que estejam previstos na referida norma por meio do processo de tratamento dos riscos de segurança da informação.
Na ISO/IEC 27001, os controles não são obrigatórios, mas a organização deve justificar a exclusão de quaisquer controles listados na Anexo A da norma através de uma justificativa documentada, e não apenas pelo processo de tratamento de riscos.
Espero que esta explicação tenha ajudado a esclarecer a questão. Se tiver mais dúvidas ou precisar de mais detalhes sobre a ISO/IEC 27001, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
ISO/IEC 27001:2013
9.2 Auditoria interna
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre
o quanto o sistema de gestão da segurança da informação:
a) está em conformidade com:
1) os próprios requisitos da organização para o seu sistema de gestão da segurança da
informação;
2) os requisitos desta Norma;
b) está efetivamente implementado e mantido.
Não é o texto literal da questão mas na versão 2013 da norma o tópico 9.2 é o que cobre Auditoria Interna.
Alternativa E.
porque as outras alternativas sao incorretas?
Eu fiquei com a mesma dúvida do Isosisi , e só consegui achar uma explicação da seguinte forma:
"... ao estabelecer um Sistema de Gestão de Segurança ... " - tudo tem a ver com a pequenina preposição inicial desse trecho: "ao".
se fosse um "para estabelecer um Sistema de Gestão de Segurança ... ", estaríamos diante de uma situação na qual o SGSI ainda está na fase do Planejamento, e assim, as alternativas "B" e "C" poderiam figurar como corretas;
mas vendo a intenção do formulador do enunciado ao utilizar a preposição "ao" como sendo a de "situar" o estado do SGSI como já implementado e em operação, e portanto restando definir o que a mais é necessário após isto para que ele seja considerado como estabelecido, é possível entender a letra "E" como a única que se enquadra nesse contexto/fase, ou seja, da fase "Check", pois esta fase situa-se logo após a fase de operação ("Do"), e é nela que se enquadra as ações de auditoria.
As letras "B" e "C" estariam relacionadas ao contexto de planejamento/estabelecimento ("Plan"), e, as letras "A" e "D" estariam relacionadas com o contexto de Operação ("Do").
Apesar de ter feito essa análise, ainda a achei meio forçada... se alguém tiver uma mais plausível, por favor, compartilhe.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo