Com base na norma ISO/IEC 27001, julgue o item seguinte. Con...
Com base na norma ISO/IEC 27001, julgue o item seguinte.
Conscientização, educação e treinamento em segurança da
informação são previstos na norma como segurança em
recursos humanos durante a contratação.
gabarito: c
A.7.2.2 Conscientização, educação e treinamento em segurança da informação
Controle
Todos os funcionários da organização e, onde pertinente, partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
GABARITO CERTO
A.7.2 Durante a contratação
A.7.2.2 Conscientização, educação e treinamento em segurança da informação
Controle
Todos os funcionários da organização e, onde pertinente, partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.
FONTE: ISO 27001
JUSTIFICATIVA: CERTO. A norma ABNT NBR ISO/IEC 27001 prevê conscientização, educação e treinamento em segurança da informação como segurança de recursos humanos, que deve acontecer durante a contratação.
Alternativa correta: C - certo
A questão aborda especificamente a importância da conscientização, educação e treinamento em segurança da informação segundo a norma ISO/IEC 27001. Para resolver essa questão, é necessário entender os controles e requisitos que a norma estabelece para a segurança da informação no contexto de recursos humanos.
Conscientização, educação e treinamento:
A ISO/IEC 27001 é uma norma internacional que especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Um dos aspectos fundamentais dessa norma é garantir que todos os colaboradores estejam cientes de suas responsabilidades e do impacto de suas ações na segurança da informação.
Especificamente, o Anexo A da ISO/IEC 27001 contém controles sobre segurança em recursos humanos e destaca a necessidade de conscientização e treinamento contínuo para todos os funcionários, desde o momento da contratação e ao longo de todo o período de trabalho. Isso inclui:
- Conscientização: Informar os funcionários sobre a importância da segurança da informação.
- Educação: Fornecer conhecimento teórico sobre políticas e procedimentos de segurança da informação.
- Treinamento: Oferecer práticas e exercícios para assegurar que os funcionários saibam como aplicar as políticas e procedimentos no dia a dia.
Justificativa da alternativa correta:
A afirmação na questão está correta porque a ISO/IEC 27001 exige que as organizações implementem medidas de conscientização, educação e treinamento em segurança da informação como parte das práticas de segurança em recursos humanos. Isso começa já na fase de contratação e continua durante o tempo todo em que o colaborador está na organização.
Essas ações são essenciais para criar uma cultura organizacional onde todos compreendem a importância da segurança da informação e estão preparados para agir de acordo com as políticas e procedimentos estabelecidos.
Alternativas incorretas:
Se a questão estivesse marcada como errada, isso indicaria uma compreensão inadequada dos requisitos da norma. A ISO/IEC 27001 claramente abrange a necessidade de conscientização, educação e treinamento em segurança da informação como uma das práticas essenciais para a segurança de recursos humanos.
Portanto, a resposta correta é C - certo, porque a conscientização, educação e treinamento em segurança da informação são, de fato, previstos na norma ISO/IEC 27001 como parte das práticas de segurança em recursos humanos.
Conheça nossos planos