Em relação à NBR ISO/IEC n.º 27.002/2005, julgue os itens su...

Próximas questões
Com base no mesmo assunto
Q328395
Segurança da Informação ISO 27002 ,
Ano: 2013 Banca: CESPE / CEBRASPE Órgão: CPRM Prova: CESPE - 2013 - CPRM - Analista em Geociências - Sistemas |
Q328395 Segurança da Informação
Em relação à NBR ISO/IEC n.º 27.002/2005, julgue os itens subsequentes.


Entre os controles considerados como melhores práticas para a segurança da informação estão a atribuição de responsabilidades para a segurança da informação, a gestão de vulnerabilidades técnicas e a gestão de continuidade do negócio.
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa Correta: C

A questão aborda a NBR ISO/IEC 27002:2005, que é uma norma internacionalmente reconhecida para a gestão da segurança da informação. Esta norma fornece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança da informação dentro de uma organização.

Vamos detalhar os pontos mencionados na questão:

Atribuição de responsabilidades para a segurança da informação: Este é um controle essencial que garante que papéis e responsabilidades sejam claramente definidos e atribuídos. Isso ajuda a assegurar que todas as áreas da organização estejam cientes de suas responsabilidades em relação à segurança da informação.

Gestão de vulnerabilidades técnicas: Envolve a identificação, avaliação e tratamento de vulnerabilidades técnicas nos sistemas de informação. Este processo é crucial para prevenir que vulnerabilidades sejam exploradas por atacantes, resultando em incidentes de segurança.

Gestão de continuidade do negócio: Este controle visa garantir que a organização possa continuar operando em caso de incidentes significativos. Envolve a criação de planos de continuidade de negócio que são testados e atualizados periodicamente.

Esses controles são considerados "melhores práticas" porque fornecem um framework robusto para proteger a confidencialidade, integridade e disponibilidade das informações, fundamentais para a segurança da informação.

Justificativa da Alternativa Correta:

A alternativa C está correta porque menciona controles que são realmente considerados como melhores práticas pela NBR ISO/IEC 27002:2005, sendo eles: a atribuição de responsabilidades, a gestão de vulnerabilidades técnicas e a gestão de continuidade do negócio.

Alternativas Incorretas:

Não há outras alternativas nesta questão específica, mas é importante entender que qualquer alternativa que não inclua esses elementos ou que mencione práticas não reconhecidas pela norma estaria incorreta.

Espero que esta explicação tenha ajudado a compreender melhor o tema e a importância dos controles mencionados na NBR ISO/IEC 27002:2005. Se tiver mais dúvidas, sinta-se à vontade para perguntar!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Questão correta!

Norma ISO 27002


"a atribuição de responsabilidades para a segurança da informação"


6. Organizando a Segurança da Informação

6.1. Organização interna

6.1.3. Atribuições de responsabilidades para a segurança da informação
Controle: Convém que todas as responsabilidades pela segurança da informação, estejam claramente definidas.

"a gestão de vulnerabilidades técnicas "

12. Aquisição, desenvolvimento e manutenção de sistemas da informação

12.6. Gestão de vulnerabilidade técnicas 

Controle: convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.


"e a gestão de continuidade do negócio."


14. Gestão de continuidade do negócio

14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação

Controle: Convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.

Bons estudos!
Fernando Palma
[email protected]


Questão correta! Para acertá-la o candidato deveria saber a diferença entre controles essenciais (que envolvem requisitos legais) e controles considerados boas práticas (de SI normalmente utilizadas).

Vejamos a seção 0.6 da 27.002:
"0.6 Ponto de partida para a segurança da informação

Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.

Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável:

a) proteção de dados e privacidade de informações pessoais (ver 15.1.4);

b) proteção de registros organizacionais (ver 15.1.3);

c) direitos de propriedade intelectual (ver 15.1.2).

Os controles considerados práticas para a segurança da informação incluem:

a) documento da política de segurança da informação (ver 5.1.1);

b) atribuição de responsabilidades para a segurança da informação (ver 6.1.3);

c) conscientização, educação e treinamento em segurança da informação (ver 8.2.2);

d) processamento correto nas aplicações (ver 12.2);

e) gestão de vulnerabilidades técnicas (ver 12.6);

f) gestão da continuidade do negócio (ver seção 14);

g) gestão de incidentes de segurança da informação e melhorias (ver 13.2).

Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes."

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas