Analise as afirmativas a seguir sobre a norma NBR ISO/IEC 27...
I. Essa norma indica que o termo “segurança da informação”, usado na norma NBR ISO/IEC 27001, deva ser considerado como “segurança da informação e privacidade”.
II. A norma coloca como conveniente a existência um ponto de contato para ser usado pelo cliente, em relação ao tratamento de dados pessoais.
III. De acordo com a norma, a ocorrência de um evento de segurança da informação implica necessariamente em uma probabilidade alta de acesso não autorizado a dados pessoais, sensíveis ou não.
Está correto apenas o que se afirma em
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos analisar a questão e entender a alternativa correta.
A alternativa correta é a letra D (I e II).
Vamos agora entender o porquê desta escolha e o que está errado nas outras alternativas.
A norma ISO/IEC 27701 é uma extensão da ISO/IEC 27001 e ISO/IEC 27002, focando na privacidade e proteção de dados pessoais. Ela fornece diretrizes para ajudar as organizações a cumprirem requisitos de proteção de dados, como o GDPR na Europa.
1. Análise da afirmativa I:
A afirmativa diz que a norma ISO/IEC 27701 indica que o termo “segurança da informação” usado na norma ISO/IEC 27001 deve ser considerado como “segurança da informação e privacidade”.
Correto. A ISO/IEC 27701 realmente amplia o escopo da ISO/IEC 27001 para incluir aspectos de privacidade, o que chamamos de "segurança da informação e privacidade".
2. Análise da afirmativa II:
A afirmativa menciona a conveniência de existir um ponto de contato para o cliente em relação ao tratamento de dados pessoais.
Correto. A norma realmente recomenda que haja um ponto de contato, como um encarregado de proteção de dados (DPO), para comunicação direta com clientes sobre questões de dados pessoais.
3. Análise da afirmativa III:
Afirmativa diz que um evento de segurança da informação implicaria necessariamente em uma probabilidade alta de acesso não autorizado a dados pessoais, sensíveis ou não.
Incorreto. Nem todo evento de segurança da informação resulta necessariamente em acesso não autorizado de dados pessoais. Pode haver várias outras consequências e nem todos os eventos comprometem dados pessoais.
Agora, vamos justificar as alternativas incorretas:
Alternativa A (I):
Incorreta, pois embora a afirmativa I esteja correta, ela sozinha não completa a resposta, uma vez que a afirmativa II também está correta.
Alternativa B (II):
Incorreta, pois, assim como a alternativa A, a afirmativa II está correta, mas a afirmativa I também precisa ser considerada para uma resposta completa.
Alternativa C (III):
Incorreta, como já mencionado, a afirmativa III está incorreta.
Alternativa E (I e III):
Incorreta, pois embora a afirmativa I esteja correta, a afirmativa III está incorrecta.
Portanto, a análise nos leva a concluir que a alternativa D (I e II) é a correta, pois ambas as afirmações apresentadas estão corretas de acordo com a norma ISO/IEC 27701.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
GAB D
O edital cobrou ISO 27001:2013 e 27002:2013, mas acabou cobrando a extensão de 2019
- "onde o termo 'segurança da informação' for usado na ABNT NBR ISO/IEC 27001 ou na ABNT NBR ISO/IEC 27002, o termo 'segurança da informação e privacidade' se aplica
- "Convém que a organização designe um ponto de contato para ser usado pelo cliente, em relação ao tratamento de DP. Quando a organização é um controlador de DP, designar um ponto de contato para os titulares de DP relacionados ao tratamento de seus próprios DP"
FONTE: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos