Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julg...

Próximas questões
Com base no mesmo assunto
Q110935
Segurança da Informação Norma ISO 27001 , ISO 27002 ,
Ano: 2011 Banca: CESPE / CEBRASPE Órgão: Correios Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas |
Q110935 Segurança da Informação
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Deve ser incluída na documentação do sistema de gestão de segurança da informação a identificação dos colaboradores da empresa.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

A alternativa correta é E - errado.

Vamos entender o contexto da questão e por que a resposta é "errado". A questão refere-se às normas ABNT NBR ISO/IEC 27001 e 27002, que tratam de segurança da informação. Essas normas não especificam a necessidade de incluir a identificação dos colaboradores na documentação do sistema de gestão de segurança da informação.

ISO/IEC 27001 é a norma que define os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). É usada para garantir que controles de segurança adequados são implementados para proteger a confidencialidade, integridade e disponibilidade das informações.

ISO/IEC 27002 é uma norma que fornece diretrizes para as melhores práticas de gestão da segurança da informação. Ela complementa a 27001 e abrange o controle de segurança, incluindo políticas organizacionais, controle de acesso, criptografia, segurança física, entre outros.

Agora, vamos analisar por que a resposta é "errado":

Motivo da resposta correta: As normas ISO/IEC 27001 e 27002 exigem que a organização documente as políticas e procedimentos de segurança da informação, assim como a avaliação e tratamento de riscos, mas não incluem a exigência de documentar a identificação dos colaboradores individualmente.

Documentos requeridos pelo SGSI incluem:

  • Política de segurança da informação
  • Declaração de aplicabilidade
  • Avaliação de riscos
  • Plano de tratamento de riscos
  • Procedimentos operacionais

Portanto, a identificação individual dos colaboradores não é um requisito explícito das normas mencionadas.

Resumindo: A questão testa o conhecimento do candidato sobre os requisitos documentais específicos das normas ISO/IEC 27001 e 27002. A correta interpretação dessas normas leva à conclusão de que a identificação dos colaboradores não é um requisito documentado, justificando assim a resposta "errado".

Espero que essa explicação tenha sido clara e ajude a entender melhor o tema abordado. Caso tenha mais dúvidas, estou à disposição!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Eu errei essa. Mas avaliando bem, podemos denotar que nao seria impessoal identificar os colaboradores da empresa.
Eu errei a questão por interpretar que a documentação deve conter o "procedimento" de identificação dos colaboradores da empresa (cadastramento, crachá de idenificação ,etc)... Mas, pelo jeito o avaliador quiz dizer a listagem com dados dos funcionários, o que obviamente não faz parte da documentação de SGSI.
Segundo a ISO27001 os documentos devem incluir:
Registros das decisões da organização
Assegurar que as ações sejam rastreáveis às políticas e decisões de direção
Assegurar que os resultados registrados sejam reproduzíveis

Ou seja, NÃO CABE identificação dos Stakeholders.
ERRADO
Conforme a ISO 27001, p.10, ".A documentação do SGSI deve incluir:
a) declaração da política do sgsi documentada (ver 4.2.1b) e objetivos;
b) o escopo do sgsi (ver 4.2.1a));
c) procedimentos e controles que suportam o sgsi;
d) uma descrição da metodologia de avaliação de risco (ver 4.2.1c));
e) o relatório de avaliação de risco (ver 4.2.1c a 4.2.1g));
f) o plano de tratamento de risco (ver 4.2.2b));
g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, operação e
controle de seus processos de segurança de informação, e descrever como medir a efetividade dos controles (ver
4.2.3c));
h) registros requeridos por esta Norma (ver 4.3.3); e
i) a Declaração de Aplicabilidade."

Os colaboradores não. Os colaboradores que cuidam e são responsáveis pela Segurança da informação

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas