De acordo com a ABNT NBR ISO/IEC 27001:2006, assinale a opçã...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta é a alternativa D.
Alternativa D: "Ao estabelecer um SGSI, as organizações devem definir uma política específica para esse sistema nos termos das características do negócio. Essa política, por sua vez, é considerada o documento maior da política de segurança da informação das organizações."
Esta alternativa está correta porque, de acordo com a ISO 27001, ao estabelecer um Sistema de Gestão da Segurança da Informação (SGSI), é fundamental que as organizações definam uma política específica de segurança da informação que esteja alinhada com as características e necessidades do seu negócio. Esta política é, de fato, o documento mais importante na política de segurança da informação da organização e serve como uma diretriz para todos os demais processos e controles de segurança.
Alternativa A: "A medição da eficácia dos controles permite que gestores e equipe determinem o quanto esses controles alcançaram satisfatoriamente os objetivos planejados. Essa medição, assim como implementar programas de conscientização e treinamento, deve ser realizada na fase Check— monitorar e analisar criticamente o SGSI."
Embora a medição da eficácia dos controles realmente ocorra na fase Check, a implementação de programas de conscientização e treinamento não pertence a esta fase. Eles são parte da fase Do, que envolve a implementação e operação do SGSI.
Alternativa B: "Assegurar que as melhorias atinjam os objetivos pretendidos bem como ajudar a detectar eventos de segurança da informação fazem parte da fase Check — monitorar e analisar criticamente o SGSI."
A detecção de eventos de segurança da informação faz parte da fase Do, onde os controles são implementados e monitorados em operação contínua, não apenas na fase Check, que foca na análise crítica e correção de desvios.
Alternativa C: "A declaração de aplicabilidade documentada que descreve tanto os objetivos de controle como os controles que são pertinentes ao SGSI da organização deve fazer parte do planejamento geral do SGSI; no entanto, como medida de segurança, essa declaração não deve ser incluída na documentação do SGSI."
Esta alternativa está incorreta porque a declaração de aplicabilidade, que descreve os objetivos de controle e os controles pertinentes, deve sim ser parte integrante da documentação do SGSI. Ela é essencial para demonstrar a conformidade com a ISO 27001.
Alternativa E: "Elicitar e identificar riscos fazem parte da fase Plan — estabelecer o SGSI —, ao passo que analisar e avaliar os riscos devem ser realizados na fase Do — implementar e operar o SGSI."
Esta alternativa está incorreta porque tanto a identificação quanto a análise e avaliação dos riscos fazem parte da fase Plan do SGSI. A fase Do é voltada para a implementação e operação dos controles de segurança.
Espero que essa explicação tenha esclarecido suas dúvidas sobre a questão e o tema abordado. Caso tenha mais alguma dúvida ou precise de mais detalhes, estou à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Erraram ao escrever a letra A. Segue abaixo.
A medição da eficácia dos controles permite que gestores e equipe determinem o quanto esses controles alcançaram satisfatoriamente os objetivos planejados. Essa medição, assim como implementar programas de conscientização e treinamento, deve ser realizada na fase Check — monitorar e analisar criticamente o SGSI.
Bibliografia:
http://www.cespe.unb.br/concursos/TJ_CE_13_SERVIDOR/arquivos/TJCE14_006_13.pdf
Senhores segue abaixo a maioria dos erros que me fizeram acertar a questão. Sucesso a todos. Não coloquei todos os erros pq deu preguiça. =]
D) Segundo a ISO 27001,"
4.2.1 Estabelecer o SGSI
A organização deve:
b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos
e tecnologia que: [...]
NOTA Para os efeitos desta Norma, a política do SGSI é considerada um documento maior da política de segurança da
informação.
---------------------------------------C) Segundo a ISO 27001,"4.3.1 Geral
A documentação do SGSI deve incluir: i) a Declaração de Aplicabilidade."
--------------------------------------------
E) Segundo a ISO 27001,"
4.2.1 Estabelecer o SGSI
A organização deve: d) Identificar os riscos., e) Analisar e avaliar os riscos."
----------------------------
B) 4.2.4 Manter e melhorar o SGSI (act) A organização deve regularmente : d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
A)
4.2.2 Implementar e operar o SGSI
A organização deve:
e) Implementar programas de conscientização e treinamento (ver 5.2.2).
Seguem os erros (em minha opinião):
a) "implementar" -> do
b) quem faz isso é o plano (definido na fase plan)
c) é GOVERNANÇA, todos ativos devem ser documentados
e) analisar riscos é plan
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo