De acordo com a ABNT NBR ISO/IEC 27001:2006, assinale a opçã...

Próximas questões
Com base no mesmo assunto
Q386511 Segurança da Informação
De acordo com a ABNT NBR ISO/IEC 27001:2006, assinale a opção correta acerca do sistema de gestão da segurança da informação (SGSI).
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é a alternativa D.

Alternativa D: "Ao estabelecer um SGSI, as organizações devem definir uma política específica para esse sistema nos termos das características do negócio. Essa política, por sua vez, é considerada o documento maior da política de segurança da informação das organizações."

Esta alternativa está correta porque, de acordo com a ISO 27001, ao estabelecer um Sistema de Gestão da Segurança da Informação (SGSI), é fundamental que as organizações definam uma política específica de segurança da informação que esteja alinhada com as características e necessidades do seu negócio. Esta política é, de fato, o documento mais importante na política de segurança da informação da organização e serve como uma diretriz para todos os demais processos e controles de segurança.

Alternativa A: "A medição da eficácia dos controles permite que gestores e equipe determinem o quanto esses controles alcançaram satisfatoriamente os objetivos planejados. Essa medição, assim como implementar programas de conscientização e treinamento, deve ser realizada na fase Check— monitorar e analisar criticamente o SGSI."

Embora a medição da eficácia dos controles realmente ocorra na fase Check, a implementação de programas de conscientização e treinamento não pertence a esta fase. Eles são parte da fase Do, que envolve a implementação e operação do SGSI.

Alternativa B: "Assegurar que as melhorias atinjam os objetivos pretendidos bem como ajudar a detectar eventos de segurança da informação fazem parte da fase Check — monitorar e analisar criticamente o SGSI."

A detecção de eventos de segurança da informação faz parte da fase Do, onde os controles são implementados e monitorados em operação contínua, não apenas na fase Check, que foca na análise crítica e correção de desvios.

Alternativa C: "A declaração de aplicabilidade documentada que descreve tanto os objetivos de controle como os controles que são pertinentes ao SGSI da organização deve fazer parte do planejamento geral do SGSI; no entanto, como medida de segurança, essa declaração não deve ser incluída na documentação do SGSI."

Esta alternativa está incorreta porque a declaração de aplicabilidade, que descreve os objetivos de controle e os controles pertinentes, deve sim ser parte integrante da documentação do SGSI. Ela é essencial para demonstrar a conformidade com a ISO 27001.

Alternativa E: "Elicitar e identificar riscos fazem parte da fase Plan — estabelecer o SGSI —, ao passo que analisar e avaliar os riscos devem ser realizados na fase Do — implementar e operar o SGSI."

Esta alternativa está incorreta porque tanto a identificação quanto a análise e avaliação dos riscos fazem parte da fase Plan do SGSI. A fase Do é voltada para a implementação e operação dos controles de segurança.

Espero que essa explicação tenha esclarecido suas dúvidas sobre a questão e o tema abordado. Caso tenha mais alguma dúvida ou precise de mais detalhes, estou à disposição para ajudar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Erraram ao escrever a letra A. Segue abaixo.

A medição da eficácia dos controles permite que gestores e equipe determinem o quanto esses controles alcançaram satisfatoriamente os objetivos planejados. Essa medição, assim como implementar programas de conscientização e treinamento, deve ser realizada na fase Check — monitorar e analisar criticamente o SGSI.

Bibliografia:

http://www.cespe.unb.br/concursos/TJ_CE_13_SERVIDOR/arquivos/TJCE14_006_13.pdf


Senhores segue abaixo a maioria dos erros que me fizeram acertar a questão. Sucesso a todos. Não coloquei todos os erros pq deu preguiça. =]

D) Segundo a ISO 27001,"

4.2.1 Estabelecer o SGSI

A organização deve:

b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos

e tecnologia que: [...]

NOTA Para os efeitos desta Norma, a política do SGSI é considerada um documento maior da política de segurança da

informação. 

---------------------------------------

C) Segundo a ISO 27001,"4.3.1 Geral

A documentação do SGSI deve incluir: i) a Declaração de Aplicabilidade."

--------------------------------------------

E) Segundo a ISO 27001,"

4.2.1 Estabelecer o SGSI

A organização deve: d) Identificar os riscos., e) Analisar e avaliar os riscos."

----------------------------

B) 4.2.4 Manter e melhorar o SGSI (act)

A organização deve regularmente : d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

--------------------------

A)

4.2.2 Implementar e operar o SGSI

A organização deve:

e) Implementar programas de conscientização e treinamento (ver 5.2.2).

Seguem os erros (em minha opinião):

a) "implementar" -> do

b) quem faz isso é o plano (definido na fase plan)

c) é GOVERNANÇA, todos ativos devem ser documentados

e) analisar riscos é plan

Uma ressalva quanto ao comentário do Henrique, quando fala da letra b: "Assegurar que as melhorias atinjam os objetivos pretendidos" -> diz respeito a fase Act (manter e melhorar); "ajudar a detectar eventos de segurança da informação" fazem parte, de fato, da fase Check

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo