Com relação à estrutura, objetivos e conceitos gerais da N...

A alternativa correta é a A.

Vamos analisar cada uma das alternativas para entender por que a alternativa A é a correta e as demais são incorretas.

A - Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

Esta alternativa está correta. A NBR ISO/IEC 17799:2005 estabelece diretrizes e princípios gerais que auxiliam as organizações na gestão da segurança da informação. Ela oferece um conjunto abrangente de controles de segurança que podem ser aplicados no processo de gestão de riscos, visando proteger as informações de uma organização.

B - Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.

Esta alternativa está incorreta. Embora a classificação da informação seja uma parte importante da gestão de segurança da informação, os objetivos de controle e os controles da ISO/IEC 17799:2005 não se limitam a isso. Eles são aplicáveis a uma ampla gama de situações e riscos que podem não ser cobertos apenas pela classificação das informações.

C - Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Esta alternativa também está incorreta. Um incidente de segurança da informação é, na verdade, indicado por um evento de segurança da informação que é não esperado ou indesejado, e que tenha o potencial de comprometer a confidencialidade, integridade e disponibilidade da informação ou dos sistemas de informação.

D - A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.

Esta alternativa está incorreta. A gestão de riscos realmente inclui a análise, o tratamento e a comunicação de riscos, mas não exclui a aceitação de riscos. Na verdade, a aceitação de riscos é uma das possíveis respostas ao risco, onde a organização decide aceitar o risco residual após a implementação de controles.

E - Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.

Esta alternativa está incorreta. A NBR ISO/IEC 17799:2005 contém mais de 100 controles divididos em 10 seções principais, não 59 categorias. Além disso, ela não aborda exclusivamente questões de contingência na seção introdutória.

Espero que esta explicação tenha esclarecido suas dúvidas sobre a NBR ISO/IEC 17799:2005 e ajudado a entender melhor as políticas de segurança da informação. Se precisar de mais alguma coisa, estou à disposição!

ISO/IEC 17799 foi atualizada para numeração ISO/IEC 27002 em julho de 2007

A) Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

After the introductory sections, the standard contains the following twelve main sections:

1. Risk assessment
2. Security policy - management direction
3. Organization of information security - governance of information security
4. Asset management - inventory and classification of information assets
5. Human resources security - security aspects for employees joining, moving and leaving an organization
6. Physical and environmental security - protection of the computer facilities
7. Communications and operations management - management of technical security controls in systems and networks
8. Access control - restriction of access rights to networks, systems, applications, functions and data
9. Information systems acquisition, development and maintenance - building security into applications
10. Information security incident management - anticipating and responding appropriately to information security breaches
11. Business continuity management - protecting, maintaining and recovering business-critical processes and systems
12. Compliance - ensuring conformance with information security policies, standards, laws and regulations

Within each section, information security controls and their objectives are specified and outlined. The information security controls are generally regarded as best practice means of achieving those objectives. For each of the controls, implementation guidance is provided.

Item c
Incidente de segurança da informação: um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Item d
Gestão de Riscos: atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. NOTA: A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

Item e
Estrutura da Norma: A norma contém 11 seções de controles de segurança, totalizando 39 categorias (objetivos de controle/segurança) principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. Ao todo, a norma apresenta 133 controles de segurança.

Fonte: Material do Prof. Gleyson Azevedo

Gostaria de acrescentar um comentário em relação ao item b.

b) Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.

Os requisitos são identificados através de 3 fontes:

Me corrigam por favor! Mas o conceito vículado na letra A não está voltado a Norma ISO/IEC 27001 o qual foca Gestão?

Fiz a mesma pergunda do comentário acima do colega ao responder essa quesão. Pelo que estudei as normas gerais são estabelecidas na 27001, onde estabelecem os requisitos que DEVEM ser seguidos para estar em conformidade com a norma.

Jà na 27002, define aspectos que CONVEM serem seguidos, são PRATICAS de segurança, e não normas gerais.

Porém como todas as demais alternativas estavam erradas, só restava mesmo a letra A). Bem típico da FCC, não pode se atentar ao preciosismo ao responder as questões,