Com relação à gestão de segurança da informação, julgue o it...

A alternativa correta é E - errado.

A questão aborda a gestão de segurança da informação, especificamente no contexto da norma ISO/IEC 27001. Esta norma é uma referência internacional para a gestão da segurança da informação, fornecendo requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI).

De acordo com a ISO/IEC 27001, a condução de auditorias internas é um requisito fundamental para garantir que o SGSI esteja em conformidade com os requisitos estabelecidos pela organização, bem como a norma em si. As auditorias internas verificam se as políticas, processos e controles estão sendo seguidos corretamente e se estão efetivamente protegendo a informação.

A afirmativa na questão diz que a condução de auditorias internas deve ser realizada no SGSI para conferir a qualidade das atividades de controle, mas destaca que isso não é um requisito da norma ISO/IEC 27001. Isso é incorreto, pois, de fato, a norma ISO/IEC 27001 inclui explicitamente a necessidade de auditorias internas como parte de seu processo de monitoramento e revisão.

Vamos analisar os pontos principais:

Por que a alternativa é incorreta?

• A ISO/IEC 27001 exige que sejam realizadas auditorias internas periódicas no SGSI para avaliar a conformidade com os requisitos da norma e da própria organização.
• A auditoria interna garante que os controles de segurança sejam efetivos e adequados, além de identificar áreas de melhoria.

Compreendendo a ISO/IEC 27001:

• A norma estabelece um conjunto de requisitos para que a organização possa gerenciar a segurança da informação de forma sistemática.
• Inclui a necessidade de auditorias internas regulares como parte do ciclo PDCA (Plan-Do-Check-Act), que é fundamental para a melhoria contínua.

Em resumo, a norma ISO/IEC 27001 não apenas sugere, mas exige a realização de auditorias internas no sistema de gestão da segurança da informação. Portanto, a afirmativa da questão está incorreta, e a alternativa correta é E - Errado.

Espero que esta explicação tenha ajudado a esclarecer a questão. Se precisar de mais alguma orientação, estou à disposição!

O grande erro da questão foi o adjunto adverbial deslocado: "Embora destituída da norma ISO/IEC 27001". Na norma existe um trecho só para tratar de auditoria interna. Assim, o examinador erra ao dizer que esse ponto é destituído da norma.


ISO 27001/2013
9 Avaliação do desempenho
9.2 Auditoria interna

A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação...

Sentindo falta de Fernando NishimuradeAragao.

Pelo jeito, auditoria interna será um ponto que o CESPE vai pegar nesta norma

2015

De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.

ERRADA.

As auditorias internas não foram destituídas da norma ISO 27001. Veja:

"6 Auditorias internas do SGSI
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:
a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes;
b) atendem aos requisitos de segurança da informação identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado."

Fonte: ABNT NBR ISO/IEC 27001