Questões de Concurso Sobre norma 27005 em segurança da informação

Foram encontradas 371 questões

Q1742001 Segurança da Informação
Sobre o objetivo e data de publicação das Normas ABNT ISO/IEC: 20000; 27001; 27002 e 27005, verifique as assertivas e assinale a correta.
I. Especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Publicada em 2013. II. Ela especifica os requisitos para o provedor de serviço planejar, estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGS. Os requisitos incluem o desenho, transição, entrega e melhoria dos serviços para cumprir os requisitos do serviço. Publicada em 2011. III. Este documento fornece diretrizes para o processo de gestão de riscos de segurança da informação. Publicada em 2019. IV. Esta Norma fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. Publicada em 2013.
Alternativas
Q1680549 Segurança da Informação

A respeito da NBR ISO/IEC 27005:2011, julgue o item subsecutivo.


A norma em questão é abrangente e se aplica a vários tipos de organização, tais como agências governamentais e organizações sem fins lucrativos.

Alternativas
Q1680548 Segurança da Informação

A respeito da NBR ISO/IEC 27005:2011, julgue o item subsecutivo.


A referida norma não inclui um método específico para a gestão de riscos de segurança da informação.

Alternativas
Q1678847 Segurança da Informação
Considerando as disposições das normas ISO 27001, ISO 27002 e NBR ISO/IEC 27005, julgue o item a seguir.

Os tomadores de decisão podem aceitar riscos que não satisfaçam os critérios formalmente estabelecidos pela organização para a aceitação de riscos.
Alternativas
Q1678845 Segurança da Informação
Considerando as disposições das normas ISO 27001, ISO 27002 e NBR ISO/IEC 27005, julgue o item a seguir.

No processo de tratamento de riscos de segurança da informação, a organização deve assegurar que as contínuas avaliações de riscos de segurança da informação produzam resultados comparáveis e válidos.
Alternativas
Q1775585 Segurança da Informação
A respeito de Gestão de Riscos, considere as seguintes assertivas, segundo a ABNT NBR ISO/IEC 27005:
I. O risco remanescente, após ser devidamente tratado, é chamado de risco contínuo. II. A avaliação de riscos, sendo satisfatória, possibilita a implementação de controles na atividade "Tratamento de riscos", para reduzir, reter, evitar ou transferir riscos. III. O processo de comparar os resultados da análise de riscos com os critérios de risco para determinar se o risco e/ou sua magnitude é aceitável ou tolerável chama-se avaliação de riscos.
Quais estão corretas?
Alternativas
Q1616597 Segurança da Informação
Julgue o seguinte item, com relação a padrões de interoperabilidade (ePING), segurança da informação e segurança da aplicação.
No que se refere à segurança da informação, segundo a norma ISO/IEC 27005:2019, existem quatro opções disponíveis para o tratamento de risco: modificação do risco, exclusão do risco, ação de evitar o risco e compartilhamento do risco.
Alternativas
Q1615398 Segurança da Informação
Considerando a norma ISO/IEC 27005, julgue os itens a seguir, no que se refere ao alinhamento entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da informação (SGSI).
Manter e melhorar o processo de gestão de riscos da segurança da informação está alinhado com a fase verificar do SGSI.
Alternativas
Q1615397 Segurança da Informação
Considerando a norma ISO/IEC 27005, julgue os itens a seguir, no que se refere ao alinhamento entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da informação (SGSI).
As atividades analisar e avaliar riscos estão alinhadas com a fase planejar do SGSI.
Alternativas
Q1615396 Segurança da Informação
Considerando a norma ISO/IEC 27005, julgue os itens a seguir, no que se refere ao alinhamento entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da informação (SGSI).
A implementação do plano de tratamento de riscos está alinhada com a fase agir do SGSI.
Alternativas
Q1615395 Segurança da Informação
Considerando a norma ISO/IEC 27005, julgue os itens a seguir, no que se refere ao alinhamento entre o processo de gestão de riscos da segurança da informação e o sistema de gestão da segurança da informação (SGSI).
O tratamento do risco residual está alinhado com a fase executar do SGSI.
Alternativas
Q1615394 Segurança da Informação
Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
O processo de tratamento de riscos deve ter como entrada uma lista dos riscos classificados por prioridade de tratamento.
Alternativas
Q1615393 Segurança da Informação
Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
A identificação de ameaças, atividade crucial da análise de riscos, deve estar restrita àquelas ameaças que existem dentro da organização.
Alternativas
Q1615392 Segurança da Informação
Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
Os responsáveis pela gestão de riscos na organização são os próprios donos dos ativos ou os responsáveis pelos contextos ou escopo da gestão de riscos.
Alternativas
Q1615391 Segurança da Informação
Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
Uma aplicação de TI ou um processo de negócio são exemplos de escopo da gestão de riscos da segurança da informação.
Alternativas
Q1615390 Segurança da Informação
Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
A identificação dos controles existentes, para assegurar se são ou não efetivos, não deve limitar-se apenas aos documentos como planos de tratamentos de riscos, devendo ser feita também junto às pessoas responsáveis pela segurança da informação.
Alternativas
Q1615389 Segurança da Informação
Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
A avaliação dos riscos deve ser feita com base em uma lista dos riscos com valores já atribuídos a eles e com critérios de avaliação já definidos.
Alternativas
Q1316012 Segurança da Informação
Segundo a norma ABNT NBR ISO/IEC 27005:2011, a atividade de tratamento de risco, dentro do processo de gestão de riscos de segurança da informação, considera como opções de tratamento do risco:
Alternativas
Q1119899 Segurança da Informação

Texto 4A04-I


Um hacker invadiu o sistema computacional de determinada instituição e acessou indevidamente informações pessoais dos colaboradores e servidores. Durante a ação, foram alterados os registros de logs do sistema operacional e das aplicações, a fim de dificultar o trabalho de auditoria. Após o ocorrido, identificaram-se as seguintes ações do hacker.


I Exploração, a partir da Internet, de uma vulnerabilidade da página de notícias do portal da instituição localizada no servidor web, o que permitiu o acesso não autorizado à rede interna.

II Utilização de um script para alteração dos registros dos logs, com a troca dos endereços IP reais por fictícios.

III Quebra das credenciais administrativas do servidor de banco de dados dos sistemas internos, a partir do servidor web e utilização da técnica de ataques de dicionário.

IV Acesso de forma não autorizada ao servidor de banco de dados dos sistemas internos, para efetuar a extração das informações pessoais de colaboradores e servidores.


A equipe incumbida de analisar o caso concluiu que o risco era conhecido e considerado alto, já tendo sido comunicado à alta gestão da instituição; a vulnerabilidade explorada e sua correção eram conhecidas havia mais de seis meses, bem como a inexistência de dependências e da troca de dados entre os servidores de web e banco de dados; o incidente poderia ter sido evitado com o uso eficaz dos controles de segurança da informação.

Com base na NBR ISO/IEC n.º 27005, é correto afirmar que, na situação hipotética descrita no texto 4A04-I, ocorreu uma falha no ciclo de vida da gestão de risco, na fase
Alternativas
Q1118925 Segurança da Informação
Segundo a NBR ISO/IEC 27005, no processo de gestão de riscos da segurança da informação, a definição dos critérios de avaliação de riscos é realizada na atividade
Alternativas
Respostas
161: C
162: C
163: C
164: C
165: E
166: D
167: E
168: E
169: C
170: E
171: E
172: C
173: E
174: E
175: C
176: C
177: C
178: A
179: D
180: A