Questões de Concurso
Sobre iso 27002 em segurança da informação
Foram encontradas 822 questões
A doutrina dominante indica que a proteção do conhecimento objetiva viabilizar e assegurar, a cada conhecimento, informação e dado sensível, as seguintes características:
I. Adotar senhas robustas, atualizando-as em intervalos regulares e aplicando regras de complexidade.
II. Habilitar o reenvio automático de mensagens institucionais para contas externas, expondo conteúdo e endereço fora do domínio corporativo.
III. Configurar sistemas de segurança, incluindo filtros AntiSpam e bloqueio de anexos maliciosos, reduzindo riscos de invasões.
IV. Preferir as plataformas institucionais de e-mail para manipular e armazenar dados sensíveis, assegurando rastreabilidade e maior proteção.
V. Configurar grupos de permissão amplos nos serviços de armazenamento em nuvem, assegurando o compartilhamento de arquivos sem restrições adicionais de acesso, a fim de favorecer maior cooperação.
Está CORRETO o que se afirma em:
Julgue o próximo item, com base nas normas ABNT:NBR ISO/IEC 27001:2022 e ABNT:NBR ISO/IEC 27002:2022.
De acordo com a ABNT:NBR ISO/IEC 27002:2022, o controle da segregação de funções visa separar funções conflitantes entre diferentes indivíduos, a fim de evitar que um indivíduo execute tarefas potencialmente conflitantes por conta própria.
Julgue o próximo item, relativo a segurança da informação.
Conforme o princípio da unificação de regras de segurança corporativa descrito na NBR ISO 27002:2022, convém que o acesso sem fio seja considerado como conexão externa, e que este acesso seja unificado com as redes internas, de modo que sejam utilizadas as mesmas regras no gateway de controles de rede.
Julgue o próximo item, relativo a segurança da informação.
Segundo a NBR ISO 27002:2022, um sistema de gerenciamento de chaves deve ser embasado em um conjunto de padrões e procedimentos acordados no órgão, logo, convém que o processo para gerar, armazenar e distribuir as chaves criptográficas fortes e idênticas para sistemas criptográficos distintos e diferentes aplicações seja unificado pelo órgão.
( ) O padrão 27005 é o mais conhecido do mundo para sistemas de gerenciamento de segurança da informação (ISMS). Ele define os requisitos que um ISMS deve atender.
( ) O padrão 27002 é um modelo teórico para organizações que buscam proteger efetivamente seus funcionários contra ameaças internas. As empresas podem adotar uma abordagem reativa para o gerenciamento de riscos de segurança.
( ) O padrão ISO/IEC 27001 fornece às empresas de qualquer tamanho, e de todos os setores de atividade, orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação.
( ) O padrão 27002 é um padrão internacional que fornece orientação para organizações que buscam estabelecer, implementar e melhorar um sistema de gestão de segurança da informação (SGSI) focado em segurança cibernética.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:
I. O controle de restrição de acesso à informação tem o propósito de prevenir acesso não autorizado a informações e outros ativos associados;
II. O controle de segregação de funções tem o propósito de reduzir os riscos de fraude e erro;
III. O controle de autenticação segura tem o propósito de garantir que um usuário ou uma entidade se autentique com segurança.
I. Antes de considerar o tratamento de um risco, a organização deve definir um critério para avaliar se os riscos podem ou não ser aceitos. Uma decisão de tratamento do risco deve ser tomada para cada um que for identificado após a sua avaliação.
PORQUE
II. Os controles de risco podem ser selecionados a partir da norma ISO 27002, ou de outros conjuntos de controle que a empresa use, ou novos controles podem ser projetados para atender às necessidades específicas da organização.
A respeito dessas asserções, assinale a alternativa correta.
Conforme a ABNT NBR ISO/IEC 27002, a resposta a incidentes de segurança da informação deve incluir, quando necessária, a análise forense de segurança da informação.
Julgue o item a seguir, referente à continuidade de negócios, às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, e à auditoria e conformidade.
De acordo com a NBR ISO/IEC 27002:2022, com o propósito de minimizar o impacto de atividades de auditoria em processos de negócio, é uma diretriz para a organização executar testes de auditoria que podem afetar a disponibilidade do sistema fora do horário comercial.
Julgue o item a seguir, referente à continuidade de negócios, às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, e à auditoria e conformidade.
De acordo com a NBR ISO/IEC 27002:2022, no contexto de segurança da informação para uso de serviços em nuvem, é relevante que a totalidade dos controles de segurança da informação sejam gerenciados pela organização como cliente de serviço em nuvem, podendo outros controles operacionais serem delegados ao provedor de serviços em nuvem.
Julgue o item a seguir, referente à continuidade de negócios, às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, e à auditoria e conformidade.
Considerando um eventual cenário de disrupção nos negócios, a NBR ISO/IEC 27002:2022 propõe que planos de continuidade sejam desenvolvidos, implementados, testados, analisados criticamente e avaliados para manter ou restaurar a segurança das informações de processos críticos de negócios.
Julgue o item a seguir, a respeito de segurança da informação, políticas de segurança, classificação de informações e análise de vulnerabilidades.
De acordo com a NBR ISO/IEC 27002:2022, é relevante que a política de segurança da informação organizacional contenha declarações explícitas de veto a quaisquer isenções e exceções.
Julgue o item a seguir, a respeito de segurança da informação, políticas de segurança, classificação de informações e análise de vulnerabilidades.
Conforme prescreve a NBR ISO/IEC 27002:2022, no contexto organizacional, os analistas de negócios e os analistas de bancos de dados são os responsáveis pela classificação das informações.
Assinale a opção que representa corretamente o principal objetivo da norma NBR ISO/IEC 27001:2013.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
Um ataque LDAP injection bem-sucedido pode resultar na execução de comandos arbitrários, como a concessão de permissões para consultas não autorizadas e a modificação de conteúdo dentro da árvore LDAP.
A respeito de gestão de segurança da informação, protocolos de autenticação, ameaças e vulnerabilidades em aplicações e segurança de aplicativos web, julgue o item a seguir, considerando, no que couber, as disposições das normas técnicas NBR ISO/IEC 27001:2022 e NBR ISO/IEC 27002:2022.
A camada de inteligência estratégica de ameaças de uma organização deve atuar na coleta de informações sobre as metodologias dos atacantes, bem como sobre as ferramentas e tecnologias envolvidas nos ataques.