Em relação à NBR ISO/IEC n.º 27.002/2005, julgue os itens su...
A proteção de dados e a privacidade de informações pessoais, a proteção de registros organizacionais e a definição e a implementação de uma política de segurança da informação são considerados controles essenciais para uma organização.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: E - errado.
A ISO/IEC 27002 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização. Contudo, a questão em tela pode induzir a uma interpretação de que todos os elementos citados (proteção de dados e privacidade de informações pessoais, proteção de registros organizacionais e definição e implementação de uma política de segurança da informação) estão categorizados como "controles essenciais."
Na verdade, a norma especifica um conjunto diversificado de controles que devem ser considerados com base em uma avaliação de risco. A proteção de dados e a privacidade são parte dos controles, assim como a proteção de registros organizacionais e a política de segurança da informação. No entanto, a norma não os qualifica especificamente como "controles essenciais" de maneira genérica para todas as organizações; a essencialidade depende do contexto organizacional e do resultado da análise de risco.
Portanto, a assertiva está errada ao sugerir que esses itens são considerados "controles essenciais" de forma genérica e indistinta para todas as organizações. O que a ISO/IEC 27002 de fato recomenda é uma abordagem baseada em riscos, onde a organização determina quais controles são essenciais com base em sua análise de riscos específica.
Para resolver essa questão, é necessário entender a nomenclatura e abordagem da ISO/IEC 27002, saber que a essencialidade dos controles é determinada pela avaliação de riscos da organização e não por uma classificação genérica da norma.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Alguem sabe o erro?
A proteção de dados e a privacidade de informações pessoais, a proteção de registros organizacionais e a definição e a implementação de uma política de segurança da informação ( direitos de propriedade intelectual) são considerados controles essenciais para uma organização.
Os três controles essenciais estão descritos na seção 15.
ERRADO, porque a implementação de uma política de segurança da informação não é um controle essencial.
Segundo a ISO 27002,"0.6 Ponto de partida para a segurança da informação
Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável:
a) proteção de dados e privacidade de informações pessoais (ver 15.1.4);
b) proteção de registros organizacionais (ver 15.1.3);
c) direitos de propriedade intelectual (ver 15.1.2).
Os controles considerados práticas para a segurança da informação incluem:
a) documento da política de segurança da informação (ver 5.1.1);
"Questão incompleta dada como errada.
um milhão de questões incompletas do cespe são dadas como certas. Vai entender essa banca.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos