Questões de Concurso
Comentadas sobre norma 27005 em segurança da informação
Foram encontradas 341 questões
Definição do contexto
Identificação
Estimativa
Avaliação
Tratamento
Monitoramento e análise crítica
Comunicação
Assinale a opção que apresenta a atividade que completa a lista acima.
No desenvolvimento dos critérios básicos para a avaliação, o impacto e a aceitação de riscos consideram, entre outros itens, o valor estratégico do processo, a criticidade dos ativos de informação, a perda de oportunidades e os danos à reputação.
De acordo com a ABNT NBR ISO/IEC 27005:2011, o desenvolvimento desses critérios básicos no processo de gestão de riscos de segurança da informação, é realizado
O processo de gestão de riscos de segurança da informação consiste em diversas atividades que podem ter um enfoque iterativo visando seu aprofundamento e detalhamento.
De acordo com a ABNT NBR ISO/IEC 27005:2011, assinale a opção que indica a atividade que pode ter um enfoque iterativo.
I. Requisitos regulatórios são irrelevantes ao avaliar os riscos de segurança da informação na organização. II. As expectativas e percepções das partes interessadas devem ser consideradas ao estabelecerem os critérios para avaliação de riscos. III. A análise de riscos deve ser empreendida independentemente da criticidade dos ativos.
Está correto o que se afirma em:
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
A qualidade e a exatidão do processo de análise quantitativa de
riscos estão relacionadas à disponibilidade de dados históricos
e auditáveis.
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
Entre os ativos de suporte e infraestrutura incluem-se os
recursos humanos, as instalações físicas e a estrutura da
organização.
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
Na fase executar são realizadas ações que incluem a
reaplicação do processo de GRSI.
Julgue o item subsecutivo com relação à norma ABNT NBR ISO 27005, que fornece diretrizes para o processo de gestão de riscos de segurança da informação (GRSI) de uma organização.
As opções para tratamento do risco de segurança da
informação — modificação do risco, retenção do risco, ação de
evitar o risco e compartilhamento do risco — não são
mutuamente exclusivas.
Consider the statements below.
I. It is defined as a procedure requiring the combination of several factors, including at least two of the following: Knowledge-something the user knows, e.g., a password, a personal identification number (PIN); Ownership-something the user has, e.g., token, smart card, mobile phone/SIM; Inherence − something the user is, e.g., fingerprint. It is worth highlighting that the aforementioned requirement of having mutually independent factors could be difficult to match. In fact, in the context of access to Internet services, when using ownership and inherence factors as well as when inputting a PIN or password, the user transmits digital data to the verifying counterpart, so that regardless of the generating factor, susceptibility to interception is a common vulnerability.
II. Security administration can be costly and prone to error because administrators usually specify access control lists for each user on the system individually. With this kind of control, security is managed at a level that corresponds closely to the organization's structure. Each user is assigned one or more roles, and each role is assigned one or more privileges that are permitted to users in that role. Security administration with it consists of determining the operations that must be executed by persons in particular jobs, and assigning employees to the proper roles. Complexities introduced by mutually exclusive roles or role hierarchies are handled by its software, making security administration easier.
The statements I and II refers respectively to
Considere os processos abaixo.
Processos do SGSI
− Planejar.
− Executar.
− Verificar.
− Agir.
Processos de GRSI
− Definição do contexto.
− Avaliação de riscos.
− Definição do plano de tratamento do risco.
− Aceitação do risco.
− Implementação do plano de tratamento do risco.
− Monitoramento contínuo e análise crítica de riscos.
− Manter e melhorar o processo de GRSI.
A norma ABNT NBR ISO/IEC 27005:2011 apresenta o alinhamento do processo do Sistema de Gestão da Segurança da Informação
– SGSI e do processo de Gestão de Riscos de Segurança da Informação – GRSI. Segundo a Norma, o processo de
GRSI denominado
I. Na ótica da NBR ISO/IEC nº 27.001:2013 e NBR ISO/IEC nº 27.002:2013, a segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes, um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. II. A norma NBR ISO/IEC nº 27.005:2011 fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a Norma NBR ISO/IEC nº 27.001, incluindo um método específico para a gestão de riscos de segurança da informação. Cabendo à organização a implementação e à adequação do modelo a estrutura do negócio. III. A seleção de controles de segurança da informação depende das decisões da organização, criando sua própria legislação e regulamentação baseadas nos critérios internos da organização para aceitação de risco.
Está(ão) correta(s) apenas a(s) afirmativa(s)
Considerando-se o que dispõe a ISO 27005 sobre as diretrizes para a implementação quando da abordagem sobre a transferência de risco, analisar os itens abaixo:
I - A transferência do risco jamais criará novos riscos ou modificará riscos existentes e já identificados.
II - A transferência do risco envolve a decisão de se compartilhar certos riscos com entidades externas.
III - A transferência pode ser feita por um seguro que cubra as consequências ou através da subcontratação de um parceiro cujo papel seria o de monitorar o sistema de informação e tomar medidas imediatas que impeçam um ataque antes que ele possa causar um determinado nível de dano ou prejuízo.
Está(ão) CORRETO(S):