Questões de Concurso
Sobre norma 27005 em segurança da informação
Foram encontradas 371 questões
Para o tratamento dos riscos, a referida norma estabelece as seguintes opções: reter, reduzir, evitar ou transferir o risco.
Na definição da metodologia de avaliação dos riscos, devem ser identificadas as ameaças que podem afetar os ativos de informação que serão avaliados.
A perda de uma oportunidade de negócio devido a um evento de segurança da informação é considerada um critério de impacto.
Deve ser recebida como entrada do processo de avaliação de riscos uma lista de cenários de incidentes identificados como relevantes, com as respectivas consequências para os processos de negócio.
Requisitos legais e regulatórios a serem necessariamente atendidos pela organização devem fazer parte do escopo da gestão de riscos de segurança da informação.
A referida norma fornece as diretrizes para o processo de gestão de riscos da segurança da informação bem como uma metodologia específica para todos os tipos de organização que pretendam gerir os riscos passíveis de comprometer a segurança da informação da organização.
A comunicação de riscos visa assegurar que as informações sobre os riscos sejam compartilhadas entre os responsáveis pelas decisões e as outras partes envolvidas.
Na identificação dos ativos de uma organização, que ocorre durante a atividade de análise de riscos, é exigida a identificação de um responsável para cada ativo de forma a garantir as responsabilidades na prestação de contas.
Para a fase de tratamento do risco da segurança da informação, essa norma estabelece quatro possíveis ações não mutuamente exclusivas: redução, retenção, prevenção e eliminação do risco.
Conforme a norma ISO/IEC 27005, é recomendável que o nível de risco seja estimado em todos os cenários de incidentes relevantes. Essa estimativa serve para designar valores qualitativos ou quantitativos para a probabilidade e para as consequências do risco.

As atividades I, II e III da figura acima correspondem, respectivamente, a:
Que diretriz de implementação NÃO está em acordo com os procedimentos recomendados pela referida norma, no que tange à separação dos recursos de desenvolvimento, de teste e de produção?
Incidente de segurança da informação é um evento simples ou uma série de eventos indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
Disponibilidade da informação, integridade, autenticidade e confiabilidade são algumas das propriedades obrigatórias na definição da segurança da informação de uma organização.