No que se refere ao processo de criação de um sistema de ges...
A declaração de aplicabilidade contempla os objetivos de controle atualmente implementados e deve ser gerada na fase implementar e operar.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: Errado
Vamos entender por que a alternativa está incorreta e como o Sistema de Gestão de Segurança da Informação (SGSI) deve ser implementado de acordo com a norma ISO 27001.
A declaração de aplicabilidade, conforme definido pela ISO/IEC 27001, é um documento essencial no processo de criação de um SGSI. Ela contempla os objetivos e controles de segurança que a organização decidiu implementar para mitigar os riscos identificados.
No entanto, a questão afirma que a declaração de aplicabilidade "deve ser gerada na fase implementar e operar". Isso está incorreto. De acordo com a ISO 27001, a declaração de aplicabilidade deve ser desenvolvida durante a fase de planejamento do SGSI, e não durante a fase de implementação e operação.
Vamos detalhar o processo para esclarecer:
1. Planejar (Plan): Nesta fase, a organização realiza uma avaliação de risco e identifica quais controles de segurança são necessários para mitigar esses riscos. Com base nessa análise, a declaração de aplicabilidade é criada.
2. Implementar e Operar (Do): Aqui, a organização implementa os controles de segurança definidos na declaração de aplicabilidade. Esta fase envolve a execução das ações planejadas para atingir os objetivos de segurança da informação.
3. Monitorar e Analisar Criticamente (Check): A organização monitora e revisa a eficácia dos controles implementados, verificando se os objetivos de segurança estão sendo alcançados.
4. Manter e Melhorar (Act): Com base nas análises, ajustes e melhorias contínuas são realizados para aperfeiçoar o SGSI.
Portanto, a declaração de aplicabilidade é um produto do planejamento e deve estar pronta antes da implementação dos controles. Isso permite a organização saber exatamente o que precisa ser feito e como, antes de entrar na fase de execução.
Espero que esta explicação tenha esclarecido o motivo pelo qual a alternativa está incorreta. Caso tenha mais dúvidas, estou à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A declaração de aplicabilidade é o documento que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização. Ela deve ser feita na fase "Estabelecer o SGSI" e não em "Implementar e Operar".
Complementado, as fases de um SGSI são (EIOMAMM):
1.Estabelecer o SGSI
2.Implementar e operar o SGSI
3.Monitorar e analisar criticamente o SGSI
4.Manter e melhorar o SGSI
Apenas para atualizar informação do Winicius Neres, na versão 2013 da 27001 o mneumônico muda para:
1.Estabelecer
2.Implementar
3.Manter
4.Continuamente Melhorar
EIMaCoMe
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos