Com base na norma ISO/IEC 27001, julgue o item seguinte. A r...

Alternativa correta: E - errado

A norma ISO/IEC 27001 é um padrão internacional que especifica requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Esta norma é amplamente utilizada para gerenciar e proteger informações valiosas em uma organização.

Vamos analisar o enunciado da questão. Ele diz que a norma determina que, durante o planejamento do SGSI, sejam tomadas medidas de prevenção e redução de efeitos indesejados dos riscos relacionados ao escopo de gestão dos serviços de tecnologia da informação.

Para resolver esta questão, é essencial entender o que a ISO/IEC 27001 realmente exige durante o planejamento do SGSI. A norma aborda o gerenciamento de riscos de uma forma ampla, não se limitando apenas aos serviços de tecnologia da informação.

A ISO/IEC 27001 requer a identificação dos riscos de segurança da informação e a implementação de controles adequados para tratar esses riscos. Estes requisitos abrangem toda a organização, e não apenas os serviços de TI. Isso significa que os riscos que precisam ser gerenciados podem estar relacionados a diversos aspectos, incluindo processos de negócios, recursos humanos, infraestrutura física, além dos serviços de tecnologia da informação.

Com isso em mente, fica claro porque a alternativa é errada. O enunciado da questão limita os requisitos da norma aos serviços de tecnologia da informação, enquanto na realidade, a ISO/IEC 27001 tem um escopo mais amplo. A norma exige uma visão holística da segurança da informação, abrangendo toda a organização e não se restringindo apenas aos serviços de TI.

Vamos reforçar os pontos principais:

• A ISO/IEC 27001 especifica requisitos para um SGSI, abrangendo toda a organização.
• O gerenciamento de riscos é amplo e envolve diversas áreas, e não apenas os serviços de tecnologia da informação.
• A alternativa é considerada errada porque o enunciado limita erroneamente o escopo da norma.

Espero que esta explicação tenha ajudado a esclarecer o tema e a razão pela qual a alternativa correta é "E - errado". Se tiver mais dúvidas ou precisar de mais detalhes, estou à disposição para ajudar.

No momento do planejamento a organização deve considerar .

Neste momento(planejamento) a organização não toma nenhuma medida como proposto pela assertiva.

Logo, gabarito errado.

Foco!

Apenas complementando.

GABARITO ERRADO

6 Planejamento

6.1 Ações para contemplar riscos e oportunidades

6.1.1 Geral

Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar as questões referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e oportunidades que precisam ser consideradas para:

• a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos;
• b) prevenir ou reduzir os efeitos indesejados; e
• c) alcançar a melhoria contínua

FONTE: ISO 27001

Além do que foi apontado pelos colegas, eu entendi que o escopo é mais amplo, não somente a "gestão dos serviços de tecnologia da informação". Entendo que segurança da informação envolve todas as áreas da organização. Correto meu pensamento?

JUSTIFICATIVA: ERRADO. A norma ABNT NBR ISO/IEC 27001 não descreve o escopo a ser abordado; na prática, o escopo é definido pela organização.

4 Contexto da organização

4.1 Entendendo a organização e seu contexto

A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança da informação.

NOTA

A determinação destas questões refere-se ao estabelecimento do contexto interno e externo da organização apresentado em 5.3 da ABNT NBR ISO 31000:2009

ABNT NBR ISO/IEC 27001:2013

Pág. 1