Para uma correta implementação de um sistema de gestão da s...
O nome desse documento é
a Declaração de aplicabilidade é a principal ligação entre a avaliação de riscos e o tratamento e a implementação da segurança da sua informação. Sua finalidade é definir qual dos 133 controles (medidas de segurança) sugeridos do anexo A da ISO 27001 será aplicado e a forma como serão implementados
https://advisera.com/27001academy/pt-br/knowledgebase/a-importancia-da-declaracao-de-aplicabilidade-da-iso-27001/
Olá, aluno! Vamos analisar esta questão sobre a implementação de um sistema de gestão da segurança da informação conforme a norma ISO 27001. A alternativa correta é a E - declaração de aplicabilidade, definida na norma NBR ISO/IEC 27001.
Justificativa da alternativa correta:
A declaração de aplicabilidade (SoA - Statement of Applicability) é um documento essencial na ISO 27001. Ela descreve os controles de segurança selecionados e justifica a seleção deles, ou a razão pela qual certos controles não foram selecionados. Este documento faz a ligação entre a avaliação de riscos e o tratamento da segurança da informação, garantindo que todos os riscos identificados sejam gerenciados adequadamente. Portanto, a alternativa E é a correta porque ela se encaixa perfeitamente na descrição fornecida pela questão.
Análise das alternativas incorretas:
A - política de segurança da informação, definida na norma NBR ISO/IEC 27002
A política de segurança da informação é um documento estratégico que define as diretrizes gerais de segurança da informação na organização. No entanto, ela não especifica os controles aplicáveis ou não aplicáveis, nem faz a ligação direta com a avaliação de riscos, como a questão solicita. Por isso, esta alternativa está incorreta.
B - relatório de levantamento de riscos, definido na norma NBR ISO/IEC 27001
O relatório de levantamento de riscos é um documento que detalha os riscos identificados durante a avaliação de riscos. Embora ele seja importante, ele não descreve os controles selecionados ou não selecionados, nem faz a ligação direta com o tratamento da segurança da informação. Portanto, esta alternativa está incorreta.
C - política de controle de acesso, definida na norma NBR ISO/IEC 27002
A política de controle de acesso é específica para definir como a organização gerencia o acesso às suas informações. Ela não abrange todos os controles de segurança nem faz a ligação entre a avaliação de riscos e o tratamento da segurança da informação. Assim, esta alternativa também está incorreta.
D - procedimento para gestão de incidentes definido na norma NBR ISO/IEC 27001
O procedimento para gestão de incidentes descreve as ações a serem tomadas em caso de incidentes de segurança da informação. Embora seja um componente crucial do SGSI, ele não trata da seleção ou justificativa dos controles de segurança em relação à avaliação de riscos. Portanto, esta alternativa não está correta.
Espero que esta explicação tenha ajudado a esclarecer a importância da declaração de aplicabilidade na ISO 27001. Ela é fundamental para documentar e justificar os controles de segurança que a organização implementa ou decide não implementar, conectando diretamente a avaliação de riscos ao tratamento da segurança da informação.
Se tiver mais dúvidas, estou à disposição para ajudar! Boa sorte nos seus estudos!