Acerca de gestão de ativos, julgue os itens a seguir. As inf...
As informações de uma organização possuem vários níveis de sensibilidade e criticidade, razão pela qual alguns itens podem necessitar de um tratamento e proteção diferenciados.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: C - certo
A gestão de ativos de informação é um componente fundamental dentro da norma ISO 27002, que aborda as melhores práticas em segurança da informação. Um dos conceitos chave é que as informações possuem diferentes níveis de sensibilidade e criticidade, o que significa que as informações não são todas iguais, nem devem ser tratadas de forma uniforme.
Informações sensíveis podem incluir dados pessoais, informações financeiras, propriedade intelectual, entre outros, que, se expostos ou comprometidos, podem causar danos significativos à organização ou indivíduos envolvidos. Por outro lado, informações críticas são aquelas essenciais para a operação do negócio e cuja indisponibilidade pode impactar de forma severa as atividades organizacionais.
Por isso, é necessário aplicar controles diferenciados para cada tipo de informação, como criptografia mais forte para dados muito sensíveis ou medidas de alta disponibilidade para informações críticas. Isto está alinhado com o princípio de abordagem baseada em risco, onde recursos de segurança são alocados de maneira proporcional aos riscos identificados.
A afirmativa está correta, pois reflete a necessidade de se identificar e classificar os ativos de informação para fornecer níveis diferentes de proteção, conforme sua sensibilidade e criticidade. Isso é diretamente apoiado pelos domínios da ISO 27002, que recomendam o estabelecimento de uma política de classificação e um esquema de controle apropriado para proteger os ativos de acordo com suas necessidades específicas de segurança da informação.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Questão correta. Essa realidade decorre do processo de avaliação dos riscos. Abaixo vemos que o nível de criticidade da informação é critério relevante para para a determinação da importância de um determinado risco. Quanto maior a importância/impacto do risco, mais teremos que buscar tratamentos e proteções diferenciados. Referência pag. 9 da Norma ISO/IEC 27005, abaixo:
"Critérios para a avaliação de riscos
Convém que os critérios para a avaliação de riscos sejam desenvolvidos para avaliar os riscos de segurança da informação na organização, considerando os seguintes itens:
- O valor estratégico do processo que trata as informações de negócio
- A criticidade dos ativos de informação envolvidos
- Requisitos legais e regulatórios, bem como as obrigações contratuais
- Importância do ponto de vista operacional e dos negócios, da disponibilidade, da confidencialidade e da integridade
- Expectativas e percepções das partes interessadas e conseqü.ncias negativas para o valor de mercado (em especial, no que se refere aos fatores intangíveis desse valor), a imagem e a reputação.
Além disso, critérios para avaliação de riscos podem ser usados para especificar as prioridades para o tratamento do risco."
Espero ter ajudado!
CERTO.
Segundo a ISO/IEC 27002,"7.2 Classificação da informação
A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.
7.2.1 Recomendações para classificação Controle Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização."
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos