O objetivo de controle da Política de Segurança da Informaçã...

Próximas questões
Com base no mesmo assunto
Ano: 2010 Banca: FCC Órgão: TCM-PA Prova: FCC - 2010 - TCM-PA - Técnico em Informática |
Q34940 Segurança da Informação
O objetivo de controle da Política de Segurança da Informação, estabelecido na norma NBR ISO/IEC 17799:2005, é
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é a A.

Vamos agora entender o porquê dessa ser a opção correta e os motivos pelos quais as outras alternativas estão incorretas.

Alternativa A: prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

Essa alternativa está correta porque o objetivo principal da Política de Segurança da Informação, conforme estabelecido na norma NBR ISO/IEC 17799:2005, é garantir que a alta direção da empresa ofereça suporte e diretrizes para a gestão da segurança da informação. Isso inclui alinhar as práticas de segurança da informação com os objetivos do negócio, além de assegurar que as leis e regulamentações aplicáveis sejam cumpridas.

Alternativa B: gerenciar a segurança da informação dentro da organização.

Embora gerenciar a segurança da informação seja uma atividade crucial, essa alternativa não especifica o papel da alta direção ou a necessidade de conformidade com requisitos legais e regulamentares, o que é fundamental no contexto da Política de Segurança da Informação.

Alternativa C: alcançar e manter a proteção adequada dos ativos da organização.

Essa alternativa se concentra na proteção dos ativos, o que é importante, mas não aborda a necessidade de orientação e apoio da direção ou a conformidade com requisitos legais, aspectos centrais na definição da Política de Segurança da Informação.

Alternativa D: assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.

Embora a conscientização e a atribuição de responsabilidades sejam importantes, essa alternativa está mais relacionada a controles de segurança específicos, não diretamente ao objetivo da Política de Segurança da Informação conforme a ISO/IEC 17799:2005.

Alternativa E: implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados.

Essa alternativa trata da gestão da segurança da informação em relação a serviços terceirizados, que é um aspecto importante, mas novamente, não cobre o papel da alta direção e a necessidade de conformidade com requisitos legais e regulamentares, conforme requerido pela política de segurança.

Portanto, é essencial entender que a Política de Segurança da Informação, segundo a norma NBR ISO/IEC 17799:2005, foca em garantir que a alta direção esteja envolvida e que as práticas de segurança estejam alinhadas com os objetivos do negócio e em conformidade com as leis e regulamentações.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

 Objetivo

Esta Norma fornece recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis

pela introdução, implementação ou manutenção da segurança em suas organizações. Tem como propósito prover uma
base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da
segurança, e prover confiança nos relacionamentos entre as organizações. Convém que as recomendações descritas
nesta Norma sejam selecionadas e usadas de acordo com a legislação e as regulamentações vigentes.
Comentando as questões:
 
b) Objetivo da seção 6 - Organizando a segurança da informação sendo a categoria especifica nesse item 6.1 - Infra-estrutura da segurança da informação 
c) Objetivo da seção 7 - Gestão de ativos sendo a categoria especifica nesse item 7.1 - Responsabilidade pelos ativos 
d) Objetivo da seção 8 - Segurança em recursos humanos da parte sendo a categoria especifica nesse item 8.1 Antes da contratação
e) Objetivo da seção 10 - Gerenciamento das operações e comunicações  sendo a categoria especifica nesse item 10.2 Gerenciamento de serviços terceirizados 
 
e por fim:
 
a) Objetivo da seção 5 Política de segurança da informação sendo categoria especifica 5.1 Política de segurança da informação =)
 
O item 5.1 ainda conta com mais duas seções: 
5.1.1 Documento da política de segurança da informação; e
5.1.2 Análise crítica da política de segurança da informação.
 

 

5 Política de segurança da informação 5.1 Política de segurança da informação Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.

Onde cada alternativa está na norma ISO/IEC 17799:2005:

 a) prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Objetivo de controle da seção 5. Política de Segurança da Informação. Motivo pelo qual a alternativa A é a correta!b) gerenciar a segurança da informação dentro da organização. Objetivo de controle da seção 6. Organizando a Segurança da Informação.c) alcançar e manter a proteção adequada dos ativos da organização. Objetivo de controle da seção 7. Gestão de Ativosd) assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Objetivo de controle da seção 8. Segurança em Recursos Humanos e) implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados. Objetivo de controle da seção 10. Gerenciamento das operações e comunicações (mais especificamente: 10.2. Gerenciamento de serviços tercerizados).Bons estudos!

política normativo = orientar

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo