De acordo com a ABNT NBR ISO/IEC 27001:2006, assinale a opçã...

Próximas questões
Com base no mesmo assunto
Q386511
Segurança da Informação Norma ISO 27001 ,
Ano: 2014 Banca: CESPE / CEBRASPE Órgão: TJ-CE Prova: CESPE - 2014 - TJ-CE - Analista Judiciário - Ciências Computação |
Q386511 Segurança da Informação
De acordo com a ABNT NBR ISO/IEC 27001:2006, assinale a opção correta acerca do sistema de gestão da segurança da informação (SGSI).
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é a alternativa D.

Alternativa D: "Ao estabelecer um SGSI, as organizações devem definir uma política específica para esse sistema nos termos das características do negócio. Essa política, por sua vez, é considerada o documento maior da política de segurança da informação das organizações."

Esta alternativa está correta porque, de acordo com a ISO 27001, ao estabelecer um Sistema de Gestão da Segurança da Informação (SGSI), é fundamental que as organizações definam uma política específica de segurança da informação que esteja alinhada com as características e necessidades do seu negócio. Esta política é, de fato, o documento mais importante na política de segurança da informação da organização e serve como uma diretriz para todos os demais processos e controles de segurança.

Alternativa A: "A medição da eficácia dos controles permite que gestores e equipe determinem o quanto esses controles alcançaram satisfatoriamente os objetivos planejados. Essa medição, assim como implementar programas de conscientização e treinamento, deve ser realizada na fase Check— monitorar e analisar criticamente o SGSI."

Embora a medição da eficácia dos controles realmente ocorra na fase Check, a implementação de programas de conscientização e treinamento não pertence a esta fase. Eles são parte da fase Do, que envolve a implementação e operação do SGSI.

Alternativa B: "Assegurar que as melhorias atinjam os objetivos pretendidos bem como ajudar a detectar eventos de segurança da informação fazem parte da fase Check — monitorar e analisar criticamente o SGSI."

A detecção de eventos de segurança da informação faz parte da fase Do, onde os controles são implementados e monitorados em operação contínua, não apenas na fase Check, que foca na análise crítica e correção de desvios.

Alternativa C: "A declaração de aplicabilidade documentada que descreve tanto os objetivos de controle como os controles que são pertinentes ao SGSI da organização deve fazer parte do planejamento geral do SGSI; no entanto, como medida de segurança, essa declaração não deve ser incluída na documentação do SGSI."

Esta alternativa está incorreta porque a declaração de aplicabilidade, que descreve os objetivos de controle e os controles pertinentes, deve sim ser parte integrante da documentação do SGSI. Ela é essencial para demonstrar a conformidade com a ISO 27001.

Alternativa E: "Elicitar e identificar riscos fazem parte da fase Plan — estabelecer o SGSI —, ao passo que analisar e avaliar os riscos devem ser realizados na fase Do — implementar e operar o SGSI."

Esta alternativa está incorreta porque tanto a identificação quanto a análise e avaliação dos riscos fazem parte da fase Plan do SGSI. A fase Do é voltada para a implementação e operação dos controles de segurança.

Espero que essa explicação tenha esclarecido suas dúvidas sobre a questão e o tema abordado. Caso tenha mais alguma dúvida ou precise de mais detalhes, estou à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Erraram ao escrever a letra A. Segue abaixo.

A medição da eficácia dos controles permite que gestores e equipe determinem o quanto esses controles alcançaram satisfatoriamente os objetivos planejados. Essa medição, assim como implementar programas de conscientização e treinamento, deve ser realizada na fase Check — monitorar e analisar criticamente o SGSI.

Bibliografia:

http://www.cespe.unb.br/concursos/TJ_CE_13_SERVIDOR/arquivos/TJCE14_006_13.pdf


Senhores segue abaixo a maioria dos erros que me fizeram acertar a questão. Sucesso a todos. Não coloquei todos os erros pq deu preguiça. =]

D) Segundo a ISO 27001,"

4.2.1 Estabelecer o SGSI

A organização deve:

b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos

e tecnologia que: [...]

NOTA Para os efeitos desta Norma, a política do SGSI é considerada um documento maior da política de segurança da

informação. 

---------------------------------------

C) Segundo a ISO 27001,"4.3.1 Geral

A documentação do SGSI deve incluir: i) a Declaração de Aplicabilidade."

--------------------------------------------

E) Segundo a ISO 27001,"

4.2.1 Estabelecer o SGSI

A organização deve: d) Identificar os riscos., e) Analisar e avaliar os riscos."

----------------------------

B) 4.2.4 Manter e melhorar o SGSI (act)

A organização deve regularmente : d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

--------------------------

A)

4.2.2 Implementar e operar o SGSI

A organização deve:

e) Implementar programas de conscientização e treinamento (ver 5.2.2).

Seguem os erros (em minha opinião):

a) "implementar" -> do

b) quem faz isso é o plano (definido na fase plan)

c) é GOVERNANÇA, todos ativos devem ser documentados

e) analisar riscos é plan

Uma ressalva quanto ao comentário do Henrique, quando fala da letra b: "Assegurar que as melhorias atinjam os objetivos pretendidos" -> diz respeito a fase Act (manter e melhorar); "ajudar a detectar eventos de segurança da informação" fazem parte, de fato, da fase Check

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas