Questões de Concurso
Sobre norma 27005 em segurança da informação
Foram encontradas 371 questões
Considerando os conceitos da NBR ISO/IEC 27.005, quanto à análise dos riscos, assinale a alternativa correta.
A respeito da Norma NBR ISO/IEC NBR 27.005, assinale a alternativa correta.
Conforme o disposto na NBR ISO/IEC 27.005, o processo de gestão de segurança da informação consiste em
Com base nos conceitos da NBR ISO/IEC 27.005, acerca da análise dos riscos e do tratamento do risco, assinale a alternativa correta.
I. Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco; porém, precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível, desde que sob circunstâncias definidas. I. Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado e o risco estimado. III. Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isso for especificado como um requisito contratual.
Está(ão) CORRETO(S):
De acordo com a NBR ISO/IEC 27005, em relação à definição do contexto, sobre os critérios básicos, analisar a sentença abaixo:
Dependendo do escopo e dos objetivos da gestão de riscos, diferentes métodos podem ser aplicados. O método não deve ser diferente para cada iteração do processo (1ª parte). Convém que um método de gestão de riscos apropriado seja selecionado ou desenvolvido e leve em conta critérios básicos, tais como: critérios de avaliação de riscos, critérios de impacto e critérios de aceitação do risco (2ª parte). Convém que a organização avalie se os recursos necessários estão disponíveis para definir e implementar políticas e procedimentos, incluindo implementação dos controles selecionados (3ª parte).
A sentença está:
(1) Impacto.
(2) Comunicação do risco.
(3) Transferência do risco.
(4) Identificação de riscos.
( ) Processo para localizar, listar e caracterizar elementos do risco.
( ) Troca ou compartilhamento de informação sobre risco entre o tomador de decisão e outras partes interessadas.
( ) Compartilhamento com outra entidade do ônus da perda ou do benefício do ganho associado a um risco.
( ) Mudança adversa no nível obtido dos objetivos de negócios.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
Para a identificação de riscos, a norma NBR ISO/IEC 27005
recomenda que se incluam apenas os riscos cujas fontes sejam
evidentes e estejam sob o controle da organização.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
A análise crítica de políticas de segurança da informação deve
apoiar o gerenciamento da segurança da informação propondo
melhorias na política de segurança da informação em resposta
às mudanças no ambiente organizacional, nas circunstâncias do
negócio, nas condições legais ou no ambiente de tecnologia.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
O objetivo da classificação da informação é assegurar
que todas as informações produzidas pela organização recebam
os níveis máximos de proteção e sigilo disponíveis.
Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de continuidade de negócios, julgue o item a seguir.
O fornecimento de evidências formais da aplicação
de testes suficientes por empresa de desenvolvimento
de sistemas terceirizado contra a presença de vulnerabilidades
conhecidas em sistemas novos ou em processo de manutenção
é uma diretriz para implementação do controle relacionado à
supervisão e ao monitoramento de atividades de
desenvolvimento terceirizado pela organização.
Considerando as normas que regulam a segurança da informação e o sistema de gestão de segurança da informação (SGSI), julgue o próximo item.
De acordo com a ISO/IEC 27005, os responsáveis pela
estimativa de riscos devem entregar uma lista de riscos na qual
constem níveis de valores designados com base nos cenários de
incidentes e nas consequências deles para os ativos e o
negócio.