Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27...

Vamos analisar a questão referente à gestão de segurança da informação segundo as normas ABNT NBR ISO/IEC 27001:2006 e 27002:2005.

Gabarito: E (Errado)

A questão diz respeito aos requisitos para a utilização de equipamentos fora das dependências da organização, especificamente se é obrigatório ou não obter autorização prévia da administração.

Para entender esta questão, é essencial compreender os conceitos básicos das normas ISO/IEC 27001 e 27002:

ISO/IEC 27001: Esta norma especifica os requisitos para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Ela também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação.

ISO/IEC 27002: Esta norma fornece diretrizes para normas de gestão de segurança da informação e práticas recomendadas de controle, incluindo a seleção, implementação e gerenciamento de controles considerando o ambiente de risco da informação da organização.

A questão aborda um aspecto muito importante da segurança da informação: o controle de equipamentos utilizados fora da organização. Este controle é essencial para evitar vazamentos de informações e proteger dados sensíveis.

No entanto, a afirmação de que a utilização de tais equipamentos requer obrigatoriamente a autorização prévia da administração está incorreta. Vamos entender por que:

Justificativa:

As normas ISO/IEC 27001 e 27002 não prescrevem explicitamente que a autorização prévia da administração é obrigatória para a utilização de equipamentos fora da organização. Ao invés disso, elas recomendam que a organização implemente controles apropriados baseados na avaliação de riscos específica para a sua realidade. Em outras palavras, as ações devem ser baseadas em uma análise de risco que pode ou não incluir a necessidade de autorização prévia.

Portanto, enquanto pode ser uma prática recomendada em muitos casos, não é uma obrigação mandatória estabelecida pelas normas mencionadas.

Espero que essa explicação tenha esclarecido sua dúvida! Caso tenha mais questões ou precise de mais detalhes sobre este tema, sinta-se à vontade para perguntar.

Segundo a ISO 27002,"9.2.5 Segurança de equipamentos fora das dependências da organização

Diretrizes para implementação

Convém que, independentemente de quem seja o proprietário, a utilização de quaisquer equipamentos de processamento de informações fora das dependências da organização seja autorizada pela gerência.

Informações adicionais

Os equipamentos de armazenagem e processamento de informações incluem todas as formas de computadores pessoais, agendas eletrônicas, telefones celulares, cartões inteligentes, papéis e outros tipos,utilizados no trabalho em casa, ou que são removidos do local normal de trabalho."

A 27.002:2005 não obriga... Ela sugere!

Bem lembrado colega Nascimento. Mas vamos ficar atentos, porque quando o cespe colocar no título da questão algo do gênero "Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27002:2005", então tanto o DEVE,da ISO 27001, quanto o PODE,da ISO 27002, são usados de formas semelhantes e não definirão se o resultado é certo ou errado. Portanto, não será o pode ou o deve que vai sacanear o usuário porque as duas formas serão válidas, ao não ser que na questão venha pedindo COM BASE EM NORMA TAL.

A.9.2.5

Segurança de equipamentos fora das dependências da organização 

Devem ser tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

9.2.5 Segurança de equipamentos fora das dependências da organização

Convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

O enunciado afirma com base nas duas normas logo a questão está errada. 

A questão não esclarece que tipo de equipamento, e nem se o equipamento é da empresa ou é particular;