De acordo com norma ABNT: NBR 27002, não constitui uma das s...

A alternativa correta para a questão é a alternativa A - Análise/Avaliação e tratamento de riscos.

Vamos entender o tema abordado pela questão. A norma ABNT NBR ISO/IEC 27002 é um padrão internacional que fornece diretrizes para a gestão da segurança da informação dentro de uma organização. Este padrão é dividido em várias seções, cada uma abordando um aspecto específico da segurança da informação. Conhecer essas seções é fundamental para avaliar corretamente a questão.

Explicação da alternativa correta:

A alternativa A menciona "Análise/Avaliação e tratamento de riscos". Embora a análise e avaliação de riscos sejam uma parte crucial da gestão da segurança da informação, elas não constituem uma seção de controle na norma NBR ISO/IEC 27002. Esta atividade é abordada principalmente na norma NBR ISO/IEC 27005, que trata especificamente da gestão de riscos em segurança da informação.

Justificativa das alternativas incorretas:

B - Política de Segurança da Informação: Esta é uma seção importante na NBR ISO/IEC 27002. A política de segurança da informação fornece a direção e apoio da alta administração para a segurança da informação em conformidade com os requisitos de negócio e leis e regulamentos relevantes.

C - Controle de Acessos: Esta é outra seção fundamental na norma. Ela trata das medidas necessárias para garantir que o acesso à informação seja controlado e autorizado, protegendo assim contra acessos não autorizados a dados e sistemas.

D - Gestão de Ativos: Esta seção trata da responsabilidade de gerenciar e proteger os ativos da organização, incluindo a identificação dos ativos e a aplicação de controles apropriados para proteger os ativos.

E - Conformidade: Conformidade é uma seção abordada na NBR ISO/IEC 27002 e envolve assegurar que os sistemas e processos da organização estejam em conformidade com leis, regulamentos e políticas internas.

Resumindo, a compreensão das seções específicas da norma NBR ISO/IEC 27002 é essencial para responder corretamente a questões relacionadas à segurança da informação em concursos públicos. A alternativa A é a correta pois a "Análise/Avaliação e tratamento de riscos" não constitui uma seção de controle de segurança da informação na norma destacada.

a) Análise/Avaliação e tratamento de riscos. 

Assunto relacionado à Norma ISO 27005

Seção 5 – Política de Segurança da Informação

Deve ser criado um documento sobre a política de segurança da informação da empresa, que deve conter os conceitos de segurança da informação, uma estrutura para estabelecer os objetivos e as formas de controle, o comprometimento da direção com a política, entre tantos outros fatores.

Seção 7 – Gestão de ativos

Ativo, segundo a norma, é qualquer coisa que tenha valor para a organização e que precisa ser protegido. Mas para isso, os ativos devem ser identificados e classificados, de tal forma que um inventário possa ser estruturado e posteriormente mantido. Além disso, eles devem seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.

Seção 11 – Controle de acesso

O acesso à informação, assim como aos recursos de processamento das informações e aos processos de negócios, deve ser controlado com base nos requisitos de negócio e na segurança da informação. Deve ser assegurado o acesso de usuário autorizado e prevenido o acesso não autorizado a sistemas de informação, a fim de evitar danos a documentos e recursos de processamento da informação que estejam ao alcance de qualquer um.

Seção 15 – Conformidade

É importante evitar a violação de qualquer lei criminal ou civil, garantindo estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Caso necessário, a empresa pode contratar uma consultoria especializada, para que verifique sua conformidade e aderência a requisitos legais e regulamentares.

Fonte: https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi

São 14 seções de controle :

1 - Política de segurança da informação

2 - Orientação da direção para segurança da informação

3 - Segurança em recursos humanos

4 - Gestão de ativos

5 - Controle de acesso

6 - Criptografia

7 - Segurança física e do ambiente

8 - Segurança nas operações

9 - Segurança nas comunicações

10 - Aquisição, Desenvolvimento, e manutenção de sistemas

11 - Relacionamento na cadeia de suprimento

12 - Gestão de incidentes de segurança da informação

13 - Aspectos na segurança da informação na gestão da continuidade do negócio

14 - Conformidade