Questões de Concurso
Comentadas sobre norma 27005 em segurança da informação
Foram encontradas 341 questões
Considerando as práticas recomendadas pelas principais normas internacionais, assinale a opção que apresenta ação adequada a ser adotada pela organização no cenário apresentado na situação hipotética precedente.
Considerando a abordagem da ISO/IEC 27005, o termo técnico para o risco após a implementação do WAF e antes da decisão final de aceitação ou tratamento adicional é
A direção aplicará a metodologia da ABNT NBR ISO/IEC 27005:2019 para essa avaliação e, para isso, começará com:
I. uma definição dos critérios de risco (incluindo os critérios de aceitação de riscos e os critérios para a realização de avaliações de risco de segurança da informação).
II. fundamentação da consistência, validade e comparabilidade dos resultados.
III. uma descrição do método de identificação de riscos (incluindo a identificação de proprietários de risco).
IV. uma descrição do método de análise dos riscos à segurança da informação (incluindo a avaliação de potenciais consequências, probabilidade realista e nível de risco resultante).
V. uma descrição do método para comparar os resultados com os critérios de risco e a priorização de riscos para o tratamento de riscos.
Sobre as afirmativas acima, marque a alternativa CORRETA.
Com base nessa norma, considere as afirmativas a seguir.
I → O processo de avaliação de riscos compreende a identificação, a análise e a avaliação de riscos.
II → O ciclo de vida da gestão de riscos de segurança da informação é iterativo, desenvolvendo-se a gestão de maneira incremental, através de uma sucessão de iterações, e cada iteração libera uma entrega (saída) para a seguinte, minimizando tempo e esforço.
III → A análise quantitativa utiliza uma escala de valores numéricos com o objetivo de tentar calcular valores numéricos para cada um dos componentes coletados durante as atividades de identificação de riscos. Devido à sua importância, deve ser realizada antes da análise qualitativa.
IV → Ameaça é qualquer fraqueza que possa ser explorada para comprometer a segurança de sistemas ou informações.
Estão corretas
Coluna 1
1. ISO/IEC 27001.
2. ISO/IEC 27002.
3. ISO/IEC 27005.
Coluna 2
( ) Essa norma oferece às empresas orientações para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação.
( ) Essa norma fornece orientações sobre a gestão de riscos de segurança da informação, com o objetivo de apoiar a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) tendo como base outra norma.
( ) É uma norma internacional que fornece orientações para organizações que desejam estabelecer, implementar e aprimorar um SGSI com foco em cibersegurança.
( ) Ao seguir as diretrizes desta norma, as empresas podem adotar uma abordagem proativa na gestão de riscos de segurança cibernética e proteger informações críticas contra acessos não autorizados e perdas.
( ) É a norma mais conhecida no mundo para sistemas de gestão de segurança da informação, determinando os requisitos que os SGSI devem atender.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.
Considerando as normas da ABNT acerca de gestão da segurança e gestão de riscos de sistemas de informação, julgue o item a seguir.
No escopo da ABNT NBR ISO/IEC 27005:2022, os aspectos da gestão da continuidade do negócio são abordados em dois grupos principais de controles: continuidade da segurança da informação e redundâncias suficientes para o atendimento aos requisitos de disponibilidade.
Julgue o item a seguir, relativo à NBR ISO/IEC 27005, a gestão de identidades de acesso, privacidade por padrão, ataques e soluções para segurança da informação e autenticação em múltiplos fatores.
Por concepção, firewalls perimetrais convencionais são suficientes para bloquear ataques DDoS baseados em amplificação DNS, desempenhando autonomamente o conjunto de funções necessárias à mitigação desse tipo de ataque em redes distribuídas, de forma equivalente às soluções especializadas.