Acerca da gestão de segurança da informação, de métodos de a...
Acerca da gestão de segurança da informação, de métodos de autenticação e de ameaças e vulnerabilidades em aplicações, julgue o item a seguir.
De acordo com a NBR ISO/IEC 27001, ao estabelecer o programa de auditoria interna, a organização deve desconsiderar resultados de auditorias anteriores para minimizar possíveis vieses, e sortear os auditores encarregados entre aqueles capacitados, de modo a evitar influências políticas no processo da auditoria interna.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos analisar a questão sobre a NBR ISO/IEC 27001 e o procedimento de auditoria interna.
A alternativa correta é: E - errado.
Para entender a razão, precisamos conhecer o que a ISO 27001 estabelece sobre auditorias internas. A norma orienta que, ao implementar um programa de auditoria interna, a organização deve, de fato, considerar os resultados de auditorias anteriores. Isso ajuda a identificar áreas de melhoria, medir a eficácia das ações corretivas e garantir a continuidade do processo de melhoria contínua.
A afirmação de que a organização deve desconsiderar resultados de auditorias anteriores está equivocada. Na verdade, a norma sugere o oposto, uma vez que os resultados prévios são essenciais para um planejamento eficaz da auditoria.
Além disso, a questão menciona que auditores devem ser sorteados para evitar influências políticas. Embora seja importante que os auditores sejam imparciais e independentes, a ISO 27001 não especifica que deve ser feito um sorteio. O foco está em garantir que os auditores sejam competentes e capazes de realizar uma avaliação objetiva.
Agora, vamos relembrar por que a alternativa E - errado é a correta:
- Consideração dos resultados anteriores: Esses resultados são cruciais para avaliar o progresso e a eficácia das ações corretivas.
- Nomeação de auditores: A norma visa garantir competência e independência, mas não especifica o sorteio como método obrigatório.
Com esta compreensão, podemos concluir que a afirmativa está errada por essas razões.
Gostou do comentário? Deixe sua avaliação aqui embaixo!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
A cláusula 9.2 da norma determina que as organizações realizem auditorias internas em intervalos programados para determinar a conformidade com os requisitos da norma, e que precisam ser regidas por um processo formal.
As empresas devem contratar auditores com expertise comprovada, que façam parte da equipe de um órgão certificador, já que dificilmente contarão com recursos internos habilitados para esse processo.
A afirmação contém alguns equívocos em relação à NBR ISO/IEC 27001. Vamos esclarecer:
1. **Resultados de Auditorias Anteriores**:
- A NBR ISO/IEC 27001 **não recomenda desconsiderar resultados de auditorias anteriores**. Pelo contrário, os resultados de auditorias anteriores são uma fonte valiosa de informação para planejar auditorias futuras. Eles ajudam a identificar tendências, áreas de melhoria e problemas recorrentes, contribuindo para a eficácia do programa de auditoria.
- A norma enfatiza a melhoria contínua, e ignorar resultados anteriores seria contraproducente para esse objetivo.
2. **Seleção de Auditores**:
- A norma não especifica que os auditores devem ser **sorteados** entre os capacitados. Em vez disso, ela exige que os auditores sejam **objetivos, imparciais e competentes**.
- A seleção de auditores deve ser feita com base em critérios claros, como experiência, conhecimento técnico e habilidades, e não por sorteio. O objetivo é garantir que os auditores tenham a competência necessária para realizar a auditoria de forma eficaz e imparcial.
3. **Imparcialidade e Independência**:
- A NBR ISO/IEC 27001 enfatiza a importância da **imparcialidade** e **independência** dos auditores. Isso significa que os auditores não devem ter conflitos de interesse e devem ser capazes de realizar a auditoria sem influências externas, como pressões políticas ou organizacionais.
- A norma não proíbe a escolha de auditores internos, desde que sejam mantidos os princípios de imparcialidade e competência.
4. **Programa de Auditoria**:
- O programa de auditoria deve ser planejado com base em critérios como:
- Resultados de auditorias anteriores.
- Mudanças no escopo do Sistema de Gestão de Segurança da Informação (SGSI).
- Requisitos legais, regulamentares e contratuais.
- Riscos identificados.
- O programa deve ser documentado e revisado regularmente para garantir sua eficácia.
### Conclusão
A afirmação contém imprecisões em relação à NBR ISO/IEC 27001. A norma não recomenda desconsiderar resultados de auditorias anteriores nem sortear auditores. Em vez disso, ela enfatiza a importância de:
- Utilizar resultados anteriores para melhorar o processo de auditoria.
- Selecionar auditores com base em competência e imparcialidade.
- Garantir que o programa de auditoria seja planejado e executado de forma sistemática e objetiva.
Seguir essas diretrizes é essencial para manter a eficácia do SGSI e garantir a conformidade com a norma.
Gabarito: errado.
Eles DEVEM CONSIDERAR resultados de auditorias anteriores, até mesmo para evitar algumas falhas e fazer melhorias ( de modo geral).
Nunca vi uma auditoria ignorar a anterior e sortear os próximos a faze-lá
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos