De acordo com a NBR ISO/IEC 27001, julgue os itens a seguir,...

Querido aluno, vamos analisar a questão com cuidado e esclarecer cada ponto de forma que você entenda claramente o conteúdo e a justificativa das respostas.

A alternativa correta é: E - Apenas os itens III e IV estão certos.

A questão aborda a gestão dos ativos de uma organização conforme a NBR ISO/IEC 27001. Essa norma internacional é um padrão para sistemas de gestão de segurança da informação (SGSI) e destaca a importância de proteger todos os ativos que suportam as operações e processos de uma organização.

Vamos analisar cada item:

I. A gestão dos ativos mantidos no inventário deve ser realizada por ente terceirizado.

Este item está incorreto. A ISO 27001 não exige que a gestão dos ativos seja feita por um ente terceirizado. A norma enfatiza a necessidade de um controle efetivo sobre os ativos, mas não especifica que isso deve ser feito por terceiros. A decisão de terceirizar esses serviços é estratégica e cabe à própria organização.

II. Ativos associados à informação, recursos e processamento da informação devem ser geridos por gestor com mais tempo de organização e mantidos fisicamente separados dos demais.

Este item está incorreto. A ISO 27001 não especifica que esses ativos devem ser geridos pelo funcionário com mais tempo de organização, nem que precisam ser mantidos fisicamente separados. O importante é que esses ativos sejam devidamente identificados, documentados e protegidos, independentemente de quem seja o gestor ou da sua localização física.

III. Recursos de processamento da informação devem ser identificados, documentados e implementados, assim como as regras para o uso aceitável das informações e dos ativos associados à informação.

Este item está correto. A norma ISO 27001 exige que todos os ativos de informação, incluindo recursos de processamento da informação, sejam identificados, documentados e protegidos. Além disso, deve haver regras claras para o uso aceitável dessas informações e ativos, garantindo que todos na organização saibam como utilizá-los de forma segura.

IV. Os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, de contrato ou acordo.

Este item está correto. A ISO 27001 estabelece que todos os ativos da organização devem ser devolvidos ao término do relacionamento com funcionários ou partes externas, garantindo que informações sensíveis não permaneçam em posse de pessoas que não estão mais vinculadas à organização.

Portanto, analisando cada item cuidadosamente e comparando com os requisitos da ISO 27001, concluímos que a alternativa E é a correta, pois somente os itens III e IV estão de acordo com a norma.

Espero que esta explicação tenha esclarecido suas dúvidas. Continue focado nos estudos e qualquer outra dúvida, estarei aqui para ajudar!

Segundo a norma 27001:2013, no Anexo A, pág. 15 :

 

A.8 Gestão de ativos

A.8.1. Responsabilidade pelos ativos

 

( Resposta do item III :)

 

A.8.1.3. Uso aceitável dos Ativos

          Controle : Regras para o uso aceitável das informações, dos ativos associados com informação e os recursos de processamento da informação devem ser identificados, documentados e implementados.

 

 

(Resposta do item IV)

 

A.8.1.4. Devolução de ativos

        Controle: Todos os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.

Responsabilidades pelos ativos identificados: 1º Inventariar e identificar os ativos de info, processamento ou recursos 2º atribua um proprietário a ele (ñ precisa ser mais velho nem externo) 3º ident. document. e implement. regras de uso aceitável 4º quem tiver ativos da org. deve devolvê-los se contrato for encerrado.