No que se refere a norma NBR ISO/IEC n.º 27.001/2006, julgue...
A exclusão de controles considerados necessários para satisfazer critérios de aceitação de riscos precisa de justificativa e comprovação de que os riscos associados foram aceitos pelas pessoas responsáveis.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: C - certo
A questão aborda a norma NBR ISO/IEC 27001:2006, que é um padrão internacional que descreve as melhores práticas para um sistema de gestão da segurança da informação (SGSI). Esta norma é muito relevante e aplicada em ambientes corporativos para garantir a segurança dos dados e informações da empresa.
Um dos aspectos fundamentais da ISO 27001 é a avaliação e o tratamento de riscos de segurança da informação. Conforme a norma, a organização precisa identificar os riscos para a segurança da informação e aplicar controles adequados para tratá-los. Além disso, a norma reconhece que podem existir situações onde certos controles não são aplicados. Contudo, isso não é uma decisão a ser tomada de forma leviana.
Conforme o enunciado da questão, quando uma organização decide excluir um controle que seja considerado necessário, ela deve justificar essa exclusão. Isto é, precisa explicar o motivo de o controle não estar sendo aplicado e também comprovar que o risco relacionado a esse controle foi aceito por pessoas responsáveis. Isso significa que o risco foi avaliado e, mesmo sem o controle, foi determinado que o nível de risco resultante é aceitável para organização. Essas justificativas e aceitações devem ser documentadas como parte do SGSI.
Portanto, a afirmação está correta, porque está em linha com os requisitos da norma ISO 27001, que exige que a exclusão de controles necessários seja justificada e que os riscos associados sejam aceitos formalmente pelos responsáveis. Assim, a organização demonstra que está ciente dos riscos que está aceitando ao não aplicar determinados controles, e que tomou essa decisão com base em critérios de aceitação de riscos bem definidos e documentados.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Questão correta!
Início da Norma ISO 27001
1Objetivo
1.1Geral
1.2Aplicação
Os requisitos definidos nesta Normasão genéricos e é pretendido que sejam aplicáveis a todas as organizações,independentemente de tipo, tamanho e natureza.(...)
Qualquer exclusão de controles considerados necessários para satisfazer aoscritérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associadosforam aceitos pelas pessoas responsáveis precisam serfornecidas.(...)
Bons estudos!
Fernando Palma
[email protected]
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos