Com base na norma ISO/IEC 27001, julgue o item seguinte. Con...

Alternativa correta: C - certo

A questão aborda especificamente a importância da conscientização, educação e treinamento em segurança da informação segundo a norma ISO/IEC 27001. Para resolver essa questão, é necessário entender os controles e requisitos que a norma estabelece para a segurança da informação no contexto de recursos humanos.

Conscientização, educação e treinamento:

A ISO/IEC 27001 é uma norma internacional que especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Um dos aspectos fundamentais dessa norma é garantir que todos os colaboradores estejam cientes de suas responsabilidades e do impacto de suas ações na segurança da informação.

Especificamente, o Anexo A da ISO/IEC 27001 contém controles sobre segurança em recursos humanos e destaca a necessidade de conscientização e treinamento contínuo para todos os funcionários, desde o momento da contratação e ao longo de todo o período de trabalho. Isso inclui:

• Conscientização: Informar os funcionários sobre a importância da segurança da informação.
• Educação: Fornecer conhecimento teórico sobre políticas e procedimentos de segurança da informação.
• Treinamento: Oferecer práticas e exercícios para assegurar que os funcionários saibam como aplicar as políticas e procedimentos no dia a dia.

Justificativa da alternativa correta:

A afirmação na questão está correta porque a ISO/IEC 27001 exige que as organizações implementem medidas de conscientização, educação e treinamento em segurança da informação como parte das práticas de segurança em recursos humanos. Isso começa já na fase de contratação e continua durante o tempo todo em que o colaborador está na organização.

Essas ações são essenciais para criar uma cultura organizacional onde todos compreendem a importância da segurança da informação e estão preparados para agir de acordo com as políticas e procedimentos estabelecidos.

Alternativas incorretas:

Se a questão estivesse marcada como errada, isso indicaria uma compreensão inadequada dos requisitos da norma. A ISO/IEC 27001 claramente abrange a necessidade de conscientização, educação e treinamento em segurança da informação como uma das práticas essenciais para a segurança de recursos humanos.

Portanto, a resposta correta é C - certo, porque a conscientização, educação e treinamento em segurança da informação são, de fato, previstos na norma ISO/IEC 27001 como parte das práticas de segurança em recursos humanos.

gabarito: c

A.7.2.2 Conscientização, educação e treinamento em segurança da informação

Controle

Todos os funcionários da organização e, onde pertinente, partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.

GABARITO CERTO

A.7.2 Durante a contratação

A.7.2.2 Conscientização, educação e treinamento em segurança da informação

Controle

Todos os funcionários da organização e, onde pertinente, partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.

FONTE: ISO 27001

JUSTIFICATIVA: CERTO. A norma ABNT NBR ISO/IEC 27001 prevê conscientização, educação e treinamento em segurança da informação como segurança de recursos humanos, que deve acontecer durante a contratação.