Questões de Concurso
Comentadas sobre norma iso 27001 em segurança da informação
Foram encontradas 741 questões
Sobre a norma ISO/IEC 27001, analise os itens e assinale a alternativa CORRETA:
I - Refere aos requisitos para assegurar a imparcialidade nas atividades de avaliação de conformidade.
II - Padrão internacional para a Gestão de Segurança da Informação (SGSI).
III - Fornece requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema focando em como as organizações devem gerenciar conflitos de interesse.
IV - É uma norma desenvolvida pela ISO e pela IEC para criar uma estrutura de políticas, processos e controles para proteger dados sensíveis contra ameaças diversas.
(__)O controle de "Inteligência de Ameaças" (Threat Intelligence) foi incluído para exigir que as organizações coletem e analisem informações sobre ameaças para fornecer conscientização sobre o ambiente de segurança e facilitar ações preventivas.
(__)A norma ISO/IEC 27001 exige obrigatoriamente a implementação de todos os controles listados no Anexo A, independentemente do resultado da avaliação de riscos, para que a organização obtenha a certificação de conformidade.
(__)A "Segurança em Nuvem" (Cloud Services) passou a ser um controle específico, tratando da aquisição, uso, gerenciamento e saída de serviços de nuvem em conformidade com as políticas de segurança da informação da organização.
(__)O conceito de "Mascaramento de Dados" (Data Masking) é tratado como um controle técnico para limitar a exposição de dados sensíveis, em alinhamento com legislações de proteção de dados, como a Lei Geral de Proteção de Dados Pessoais (LGPD).
(__)O Sistema de Gestão de Segurança da Informação (SGSI) foca exclusivamente em ativos tecnológicos e hardware, excluindo processos de recursos humanos e gestão de infraestrutura física da sua estrutura de análise de risco.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
● Ausência de backups testados e atualizados.
● Falta de segmentação da rede e uso de senhas fracas.
● Política de Segurança da Informação não revisada nos últimos 5 anos.
● Comunicação confusa entre setores durante a resposta ao incidente, sem canal oficial para reporte.
● Acesso físico irrestrito à sala dos servidores.
Considerando as boas práticas de segurança da informação, qual seria a medida mais abrangente e prioritária a ser adotada após o incidente, visando a reduzir riscos futuros e alinhar a empresa às normas internacionais?
Com base nessa situação hipotética, assinale a opção que apresenta, segundo a ISO/IEC 27001, a ação de tratamento de risco adotada.
( ) Na Gestão de Segurança da Informação (ISO 27001), a definição do escopo do SGSI deve obrigatoriamente levar em conta o contexto da organização (questões internas e externas) e os requisitos das partes interessadas.
( ) Na Gestão de Continuidade do Negócio, o RPO (Recovery Point Objective) define a idade máxima dos dados que devem ser recuperados após um incidente, representando o volume de perda de dados aceitável.
( ) Na Gestão de Identidade e Acesso, o OpenID Connect (OIDC) funciona como uma camada de identidade construída sobre o protocolo OAuth 2.0, adicionando a capacidade de autenticação de usuários e a obtenção de informações básicas de perfil.
As afirmativas são, respectivamente,
A ISO/IEC 27001 estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI).
Assinale a alternativa correta com base na sua finalidade e princípios.
I.A Declaração de Aplicabilidade (SoA) é um documento obrigatório que lista todos os controles selecionados do Anexo A, a justificativa para sua seleção, se estão implementados ou não, e a justificativa para a exclusão de quaisquer controles.
II.A análise de riscos, conforme a ISO 27001, deve obrigatoriamente seguir a metodologia quantitativa, calculando a Expectativa de Perda Anual (ALE) para cada ativo de informação identificado no escopo do SGSI.
III.O controle A.12.3 do Anexo A, referente a backup, especifica que cópias de segurança de informação, software e imagens de sistema devem ser realizadas e testadas regularmente de acordo com uma política de backup definida e acordada.
Está correto o que se afirma em:
I. Planejamento e controle operacionais – estabelecer critérios e implementar controle dos processos.
II. Avaliação de riscos da segurança da informação – realizar avaliações de riscos em intervalos planejados.
III. Tratamento de riscos da segurança da informação – implementar o plano de tratamento de riscos.
Quais estão corretas?
Com relação às normas apontadas e a proteção demandada pela natureza sensível dos dados pessoais de saúde, analise os itens a seguir:
I. As normas ISO/IEC 27001 e 27002 são padrões internacionais que estabelecem um Sistema de Gestão de Segurança da Informação (SGSI), sendo a primeira voltada para estabelecimento de um código de prática com diretrizes e controles de segurança da informação e a segunda para gestão de riscos de segurança da informação.
II. Uma forma de demonstração da conformidade com os princípios de segurança exigidos por leis, como a LGPD e o GDPR, é a implementação e adequação institucional às normas ISO/IEC 27001 e 27002.
III. A utilização do SGSI proposto pelas normas ISO/IEC 27001 e 27002 promovem uma abordagem de segurança da informação baseada em riscos, que é o que a LGPD e o GDPR exigem na prática, além de promoverem um roteiro prático para as organizações cumprirem as exigências de segurança e privacidade.
Está correto o que se afirma em
Coluna 1
1. ISO/IEC 27001.
2. ISO/IEC 27002.
3. ISO/IEC 27005.
Coluna 2
( ) Essa norma oferece às empresas orientações para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação.
( ) Essa norma fornece orientações sobre a gestão de riscos de segurança da informação, com o objetivo de apoiar a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) tendo como base outra norma.
( ) É uma norma internacional que fornece orientações para organizações que desejam estabelecer, implementar e aprimorar um SGSI com foco em cibersegurança.
( ) Ao seguir as diretrizes desta norma, as empresas podem adotar uma abordagem proativa na gestão de riscos de segurança cibernética e proteger informações críticas contra acessos não autorizados e perdas.
( ) É a norma mais conhecida no mundo para sistemas de gestão de segurança da informação, determinando os requisitos que os SGSI devem atender.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:
Em relação à assinatura digital, aos sistemas IDS/IPS e às normas ISO 27001 e ISO 27002, julgue o item seguinte.
A ISO/IEC 27001 define apenas aspectos técnicos de segurança da informação, não abordando requisitos de gestão ou melhoria contínua dos processos.