De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os ...

Próximas questões
Com base no mesmo assunto
Q402795
Segurança da Informação Norma 27005 ,
Ano: 2014 Banca: CESPE / CEBRASPE Órgão: TJ-SE Prova: CESPE - 2014 - TJ-SE - Analista Judiciário - Análise de Sistemas |
Q402795 Segurança da Informação
De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

A referida norma fornece as diretrizes para o processo de gestão de riscos da segurança da informação bem como uma metodologia específica para todos os tipos de organização que pretendam gerir os riscos passíveis de comprometer a segurança da informação da organização.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é: E – errado.

A Norma ABNT NBR ISO/IEC 27005 trata da gestão de riscos da segurança da informação. É fundamental entendermos que essa norma fornece diretrizes para o processo de gestão de riscos, o que significa que ela oferece uma estrutura e orientações gerais sobre como identificar, avaliar e tratar riscos associados à segurança da informação.

No entanto, a afirmação presente na questão contém uma imprecisão ao dizer que a norma também fornece uma metodologia específica para todos os tipos de organização. Isso é incorreto porque a ISO/IEC 27005 não prescreve uma metodologia específica; ao invés disso, ela se concentra em fornecer princípios e orientações que podem ser adaptados conforme a necessidade de cada organização.

Portanto, vamos detalhar:

Justificativa da alternativa correta:

  • A ISO/IEC 27005 não fornece uma metodologia específica; ela oferece diretrizes e princípios.
  • Essas diretrizes são flexíveis, permitindo que cada organização adapte o processo de gestão de riscos conforme suas próprias necessidades e contexto específico.

Sobre o tema da questão:

A questão aborda a gestão de riscos da segurança da informação, um tema central na ISO/IEC 27005. A gestão de riscos é um processo contínuo que envolve a identificação, avaliação e tratamento de riscos que podem comprometer a segurança da informação dentro de uma organização.

Conceitos relevantes:

  • Diretrizes: São recomendações ou orientações gerais que ajudam na implementação de um processo ou prática.
  • Metodologia específica: É um conjunto de procedimentos ou métodos detalhados e padronizados que devem ser seguidos.

A norma ISO/IEC 27005 é fundamental para orientar as organizações sobre como proteger adequadamente seus ativos de informação contra ameaças e vulnerabilidades, mas sem prescrever um caminho único a ser seguido. Cada organização pode moldar essas diretrizes conforme suas necessidades específicas, o que é uma característica importante da norma.

Dessa forma, a alternativa correta é E – errado, pois a norma não impõe uma metodologia específica, mas sim diretrizes flexíveis.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

ERRADO.

Segundo a ISO 27005:2008,"Introdução

Esta Norma Internacional fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional não inclui uma metodologia específica para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI."

_________________________________

Ainda ERRADO conforme ISO 27005:2011.

Segundo a ISO 27005:2011,"Entretanto, esta Norma Internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI."

Nenhuma norma é metodologia, manual, regra, passa a passo etc. Norma fala O QUE deve ser feito e não COMO DEVE ser feito.

Por exemplo, uma norma determina que você precisa de um processo para contratação de fornecedores. Como vai ser esse processo você que determina, desde que atenda o requisito da norma.

Além do excelente comentário feito pelo colega Stallings podemos levar em consideração a forma estranha na qual o texto foi descrito, repare: "metodologia específica para todos os tipos de organização". 

Estranho neh, é uma metodologia específica que serve para qualquer organização, ora, se serve para todos os tipos de organização deixa de ser específica para cada uma, concordam?

vlw

Metodologias não, somente melhores práticas!

Ótimos comentários!
Eu cai no pega da questão.


Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas