A análise crítica e periódica da política de segurança da in...

Próximas questões
Com base no mesmo assunto
Q48258
Segurança da Informação Norma ISO 27001 ,
Ano: 2009 Banca: CESPE / CEBRASPE Órgão: INMETRO Prova: CESPE - 2009 - INMETRO - Analista Executivo em Metrologia e Qualidade - Desenvolvimento de Sistemas - Parte II |
Q48258 Segurança da Informação
A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta para a questão apresentada é Errado (E).

A questão aborda a análise crítica e periódica da política de segurança da informação em uma organização, conforme as normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799. Esses documentos são fundamentais para a implementação, operação, monitoramento, revisão, manutenção e melhoria de um sistema de gestão de segurança da informação.

Vamos agora entender por que a alternativa está incorreta:

As normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799 (atualmente, a ISO/IEC 17799 foi substituída pela ISO/IEC 27002) estabelecem que a responsabilidade pela análise crítica e periódica da política de segurança da informação não deve ser atribuída exclusivamente aos gestores de segurança da organização. Essa atividade deve envolver a alta administração e outras partes interessadas relevantes.

A ISO/IEC 27001 especifica claramente que a responsabilidade final pela segurança da informação recai sobre a alta administração da organização, que deve garantir que as políticas sejam adequadas e eficazes. Além disso, a norma sugere que a revisão e a análise crítica sejam realizadas de forma colaborativa, englobando não só os gestores de segurança, mas também outros departamentos e níveis hierárquicos para garantir uma abordagem abrangente e integrada.

Agora, vamos detalhar o porquê das alternativas correta e incorretas:

  • Alternativa Correta: Errado (E) - A responsabilidade pela análise crítica e periódica da política de segurança da informação deve ser compartilhada entre a alta administração e outras partes interessadas, e não atribuída exclusivamente aos gestores de segurança. Portanto, a afirmação que sugere que é exclusivamente responsabilidade dos gestores está incorreta.

Em suma, compreender as responsabilidades e a estrutura de governança estabelecida pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002 é crucial para a gestão eficaz da segurança da informação em uma organização. Essas normas enfatizam uma abordagem integrada que envolve toda a organização.

Espero que essa explicação tenha esclarecido suas dúvidas. Caso tenha mais perguntas ou precise de mais detalhes, estou à disposição!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

errado!!! é como colocar o "cachorro"   para tomar conta do "churrasco".....

A análise crítica do SGSI deve ser realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.

1 - Escopo: Abrangência da Norma;
2 - Referência Normativa: Normas e padrões relacionados à norma 27001;
3 - Termos e Definições: Termos e definições relacionados à segurança da informação;
4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;
5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;
6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;
7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI .

Complementando o que já foi dito pelo Phoenix, não é definido pela NBR ISO/IEC 27001 uma periodicidade para nenhum dos requisitos definidos pela norma, porém que fique claro que o descumprimento de qualquer requisito invalida a certificação por meio da norma. Acho eu, que o termo periodicidade já invalidaria a afirmação, apenas dando um acréscimo ao que já foi dito pelo Phoenix.

O capítulo 7 da ISO 27001 trata exatamente desse assunto, e informa que a direção deve realizar essa análise crítica e periódica do SGSI (que inclui a política de segurança da informação), e não os gestores de segurança da informação.

7 Análise crítica do SGSI pela direção

7.1 Geral

A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por
ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação
de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da
informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente
documentados e os registros devem ser mantidos (ver 4.3.3).


Bons estudos...

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas