Segundo a ABNT NBR ISO/IEC 27001:2006, para estabelecer o Si...
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa Correta: A - não necessitar de aprovação pela direção.
A questão aborda a ABNT NBR ISO/IEC 27001:2006, que é uma norma internacionalmente reconhecida para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI). Para resolver essa questão, é necessário compreender os requisitos básicos para a formulação de uma política do SGSI conforme a norma mencionada.
Justificativa da Alternativa Correta:
A alternativa A é a correta porque uma política de SGSI deve necessariamente ter a aprovação da direção da organização. A direção desempenha um papel crucial na definição e no suporte à política de segurança da informação, garantindo que esta esteja alinhada com os objetivos estratégicos da organização e que receba os recursos necessários para sua efetiva implementação.
Justificativa das Alternativas Incorretas:
A alternativa B está incorreta porque a política de SGSI deve estabelecer critérios em relação aos quais os riscos serão avaliados. Isto é fundamental para a gestão de riscos dentro da organização.
A alternativa C está incorreta porque a política de SGSI deve considerar requisitos de negócio, legais e/ou regulamentares, além de obrigações de segurança contratuais. Esses elementos são essenciais para garantir que a política atenda às exigências externas e internas.
A alternativa D está incorreta porque a política de SGSI deve estar alinhada com o contexto estratégico de gestão de riscos da organização. Isso assegura que a política seja relevante e aplicável no ambiente específico em que a organização opera.
A alternativa E está incorreta porque a política de SGSI deve incluir uma estrutura para definir objetivos e estabelecer um direcionamento global e princípios para ações relacionadas com segurança da informação. Esses elementos são essenciais para a implementação de uma política eficaz e para orientar as ações de segurança da informação na organização.
Espero que esta explicação tenha esclarecido todas as dúvidas. Caso precise de mais alguma informação ou detalhe sobre o tema, estou à disposição!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gabarito A
Essa estava bem na cara....
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
Segue o trecho na qual a questão foi retirada:
4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:
1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação;
2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;
3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer ;
4) estabeleça critérios em relação aos quais os riscos serão avaliados (ver 4.2.1c)); e
5) tenha sido aprovada pela direção
Fonte: ABNT NBR ISO/IEC 27001:2006
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos