Com base na norma ABNT NBR ISO/IEC 27002, julgue o item subs...

Alternativa Correta: Errado (E)

A questão aborda a norma ABNT NBR ISO/IEC 27002, que é uma referência internacional para a gestão de segurança da informação. Para resolver corretamente a questão, é necessário compreender os princípios e procedimentos estabelecidos por essa norma, especialmente no que se refere à análise crítica da política de segurança da informação.

Tema da Questão: A questão trata da análise crítica da política de segurança da informação e suas saídas.

Explicação da Resposta Correta:

A norma ISO/IEC 27002 estabelece que a análise crítica da política de segurança da informação deve ser realizada em intervalos regulares para garantir que a política continue adequada, eficaz e alinhada com os objetivos do negócio. No entanto, a questão afirma que uma das saídas dessa análise crítica deve ser as recomendações fornecidas por autoridades relevantes.

Isso está incorreto. A análise crítica da política de segurança da informação deve fornecer saídas como:

• Identificação de melhorias necessárias na política
• Atualizações baseadas em mudanças no ambiente de ameaças
• Revisões de objetivos e requisitos de segurança
• Monitoramento contínuo e avaliações de conformidade

Embora as autoridades possam fornecer recomendações importantes, essas não são explicitamente mencionadas pela norma como uma saída da análise crítica da política.

Por que as Alternativas Incorretas:

As alternativas incorretas seriam aquelas que concordam com a afirmação de que as recomendações de autoridades relevantes são uma saída obrigatória da análise crítica da política de segurança da informação. Isso está errado porque, na prática, a norma ISO/IEC 27002 não especifica essa exigência.

Resumo:

A análise crítica da política de segurança da informação é um processo contínuo e sistemático, mas as saídas não incluem necessariamente recomendações de autoridades. Elas se concentram mais nas melhorias internas e na adaptação aos novos desafios de segurança, conforme definido pela ISO/IEC 27002.

Espero que essa explicação tenha ajudado a esclarecer o tema! Se tiver mais perguntas, estou à disposição.

Gabarito: ERRADO.

A análise crítica da Segurança da Informação deve ter como ENTRADAS as recomendações das autoridades relevantes, isso porque a Política de Segurança da Informação é um documento de alto nível que representa a visão da Alta Direção da organização, portanto quaisquer recomendações delas devem ser observadas na entrada dessa análise e possível revisão que como orienta a Norma, deve ser realizada regularmente.

5.1.2 Análise crítica das políticas para segurança da informação

Controle

Convém que as políticas para a segurança da informação sejam analisadas criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Diretrizes para implementação

Convém que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação.

Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente de tecnologia.

Convém que a análise crítica das políticas de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém que seja obtida a aprovação da direção para a política revisada.

Fonte: ISO 27002/2013, página 10