Questões de Concurso
Comentadas sobre norma iso 27001 em segurança da informação
Foram encontradas 741 questões
Considerando os padrões da família ISO (International Organization for Standardization) / IEC (International Electrotechnical Commision) e as normas da ABNT (Associação Brasileira de Normas Técnicas), analise as afirmações a seguir.
I. O padrão ISO/IEC 27001 especifica os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI (Sistema de Gestão de Segurança da Informação). Esse padrão serve para fins de certificação da organização.
II. O padrão ISO/IEC 27002 apresenta o código de melhores práticas para a Gestão de Segurança da Informação.
III. O padrão ISO/IEC 27005 fornece diretrizes para o gerenciamento de riscos de segurança da informação.
IV. A ABNT estabeleceu a norma NBR ISO/IEC 27001, que segue o padrão ISO/IEC 27001.
- Quantas dessas afirmações estão corretas?
A NBR 27001/2006 provê um modelo para especificar e implementar um Sistema de Gestão de Segurança da Informação (SGSI). Ela adota um modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI.
Com relação às etapas do modelo PDCA, considere as afirmativas seguir.
I. Do implementa e opera a política, os controles, os processos e os procedimentos do SGSI.
II. Plan avalia e, quando aplicável, mede o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI e apresenta os resultados para análise crítica pela direção.
III. Check estabelece a política, os objetivos, os processos e os procedimentos do SGSI relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e os objetivos globais de uma organização.
IV. Act executa as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica feita pela direção e em outras informações pertinentes, para alcançar a melhoria contínua do SGSI.
Assinale a alternativa correta.
Com base na norma NBR 27001/2006, relacione os termos estabelecidos na coluna 1 com as definições na coluna 2 .
Coluna 1:
(I) Avaliação de Riscos.
(II) Gestão de Riscos.
(III) Análise de Riscos.
(IV) Incidente de Segurança da Informação.
(V) Evento de Segurança da Informação.
Coluna 2:
(A) Evento ou série de eventos de segurança da informação indesejados ou inesperados, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
(B) Ocorrência identificada de um estado de sistema, serviço ou rede, indicando possível violação da política de segurança da informação, ou falha de controles, ou situação previamente desconhecida, que possa ser relevante para a segurança da informação.
(C) Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco.
(D) Uso sistemático de informações para identificar fontes e estimar o risco.
(E) Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.
Assinale a alternativa que contém a associação correta.
A NBR 27001/2006 define requisitos de documentação para o SGSI, a qual deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis e que os resultados registrados sejam reproduzíveis.
Sobre a documentação no SGSI, considere as afirmativas a seguir.
I. Evita a existência de documentos de origem externa.
II. Assegura que as alterações e a situação da revisão atual dos documentos sejam identificadas.
III. Assegura que a distribuição de documentos seja controlada.
IV. Previne o uso não intencional de documentos obsoletos.
Assinale a alternativa correta.
Com relação às normas NBR ISO/IEC n.º 27001/2006 e NBR ISO/IEC n.º 27002/2005, julgue o item que se segue.
Assegurar que funcionários, fornecedores e terceiros
compreendam suas responsabilidades integra a norma de
segurança de recursos humanos durante o encerramento da
contratação.
Com relação às normas NBR ISO/IEC n.º 27001/2006 e NBR ISO/IEC n.º 27002/2005, julgue o item que se segue.
O plano de tratamento de riscos está contido na documentação
do Sistema de Gestão de Segurança da Informação.
Com relação às normas NBR ISO/IEC n.º 27001/2006 e NBR ISO/IEC n.º 27002/2005, julgue o item que se segue.
Os ambientes de desenvolvimento, de teste e de produção
devem ser fisicamente separados, de forma a diminuir os
riscos de impacto das alterações indevidas sobre a produção.
I. O objetivo da política da segurança da informação é prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. II. Deve ser definido e implementado um processo de gestão de autorização para novos recursos de processamento da informação. III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. IV. Deve existir um processo disciplinar formal para os funcionários que tenham cometido uma violação da segurança da informação.
Está correto o que se afirma em: