A respeito de segurança da informação, julgue o seguinte it...
A documentação de um sistema de gestão de segurança da informação deve conter a descrição da metodologia de análise/avaliação de riscos, o relatório de análise/avaliação de riscos e o plano de tratamento de riscos.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
A alternativa correta para a questão é: C - certo.
Vamos entender melhor por que essa é a alternativa correta e revisar os conceitos relacionados ao tema abordado na questão.
A norma ISO 27001 é um padrão internacional para Segurança da Informação. Ela especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Um dos aspectos fundamentais dessa norma é a Gestão de Riscos.
Documentação do SGSI:
Para que um SGSI seja eficaz, ele deve conter uma documentação detalhada que, conforme a norma ISO 27001, inclui:
- Descrição da metodologia de análise/avaliação de riscos: É essencial que a organização tenha uma metodologia clara e bem definida para identificar e avaliar riscos. Isso garante que todos os riscos sejam considerados de maneira sistemática e consistente.
- Relatório de análise/avaliação de riscos: Depois de aplicar a metodologia, um relatório detalhado deve ser elaborado. Este relatório documenta quais riscos foram identificados, sua probabilidade, impacto e a prioridade de tratamento.
- Plano de tratamento de riscos: Com base na análise, é necessário criar um plano para tratar esses riscos. Esse plano deve incluir as medidas de controle que serão implementadas, os responsáveis por essas ações e o cronograma para sua execução.
Justificativa para a alternativa correta:
A questão menciona que a documentação de um SGSI deve conter a descrição da metodologia de análise/avaliação de riscos, o relatório de análise/avaliação de riscos e o plano de tratamento de riscos. Isso está correto e em conformidade com a norma ISO 27001. A documentação detalhada desses aspectos é essencial para garantir que os riscos à segurança da informação sejam adequadamente gerenciados.
Por que as alternativas incorretas estariam erradas:
Se houvesse alternativas incorretas, elas provavelmente conteriam informações contrárias aos requisitos da ISO 27001, talvez sugerindo que um ou mais desses documentos não são necessários. Isso estaria incorreto porque a ausência de qualquer um desses elementos comprometeria a eficácia do SGSI, não atendendo aos padrões rigorosos da norma.
Espero que esta explicação tenha ajudado a entender melhor os requisitos da ISO 27001 relacionados à gestão de segurança da informação. Se tiver mais dúvidas ou precisar de mais esclarecimentos, estarei à disposição para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
CERTO.
Segundo a ISO 27001,"4.3.1 Geral
A documentação do SGSI deve incluir:
d) uma descrição da metodologia de análise/avaliação de riscos;
e) o relatório de análise/avaliação de riscos;
f) o plano de tratamento de riscos;
"Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos