De acordo com a norma ABNT NBR ISO/IEC 27002,
a) convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização. Os procedimentos para rotulação da informação precisam abranger tanto os ativos de informação no formato físico quanto no eletrônico. (Correto)
b) o nível de proteção à informação é avaliado analisando-se
c) convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido para o caso da recuperação de um desastre.
d) a classificação dada à informação é uma maneira de determinar como esta informação será tratada,
e)
Qual é o erro da Letra e ?
c) não é conveniente que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos, entretanto, convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados.
É convenienete sim. Um exemplo da vida real é que em escritórios todos os ativos são tombados. São identificados cadeiras, computadores etc.. cada um tem uma identificação, um número de tombo.
Esgundo a norma diz o contrário. O erro da questão é o "não".
Segundo a norma ISO 27002 É conveniente que cada ativo seja identificado(documentado).
LETRA A.
Segundo a ISO 27002:2013,"8.2.2 Rótulos e tratamento da informação
Controle
Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.
Diretrizes para implementação
Convém que procedimentos para a rotulação da informação abranjam a informação e os seus ativos relacionados, nos formatos físico e eletrônico."
Vamos analisar a questão com base na norma ABNT NBR ISO/IEC 27002 e identificar a alternativa correta.
A alternativa correta é a A.
Comentário:
Alternativa A: Esta alternativa está correta porque, de acordo com a norma ISO 27002, é essencial que a organização defina e implemente procedimentos para rotulação e tratamento da informação com base no esquema de classificação adotado. Esses procedimentos devem abranger tanto os ativos de informação em formato físico quanto eletrônico. A rotulação adequada facilita a proteção e o manuseio correto das informações sensíveis.
Alternativa B: Esta alternativa está incorreta porque a avaliação do nível de proteção da informação não se limita exclusivamente à confidencialidade, integridade e disponibilidade. Embora esses sejam os princípios fundamentais da segurança da informação (conhecidos como a tríade CIA), a ISO 27002 também considera outros aspectos, como a autenticidade e a responsabilidade.
Alternativa C: Esta alternativa está incorreta, pois, segundo a ISO 27002, os inventários de ativos não devem ser duplicados. A duplicação de inventários pode levar à inconsistência de dados e dificultar a gestão dos ativos. A norma recomenda que um inventário completo e coerente seja mantido, o que facilita a recuperação em caso de desastre e a gestão dos ativos.
Alternativa D: Esta alternativa está incorreta porque a classificação da informação não só determina como ela será tratada, mas também como será protegida. A classificação orienta a aplicação de controles de segurança específicos para proteger adequadamente a informação com base em sua sensibilidade e importância.
Alternativa E: Esta alternativa está incorreta, pois é crucial que o proprietário e a classificação da informação sejam acordados e documentados para cada ativo. Isso garante que os ativos recebam o nível apropriado de proteção com base na sua importância e valor para o negócio. A documentação desses aspectos é fundamental para a gestão eficaz da segurança da informação.
Espero que esta explicação tenha sido clara e tenha ajudado a compreender melhor os conceitos da ISO 27002. Se precisar de mais algum esclarecimento, estou à disposição!
Conheça nossos planos