Questões de Concurso
Sobre norma iso 27001 em segurança da informação
Foram encontradas 815 questões
Na situação hipotética precedente, a escolha pela adoção da NBR ISO/IEC 27001:2013 seria benéfica para a organização em questão, considerando-se que tal norma
Com base na situação hipotética precedente e nas normas NBR ISO/IEC 27001 e 27002, é correto afirmar que a decisão da autarquia caracteriza
I. Estabelecer controles de segurança especializados para o ambiente de computação em nuvem, considerando o modelo de responsabilidade compartilhada com o provedor; e
II. Implementar um processo estruturado de gestão de incidentes de segurança da informação para detectar, responder e recuperar-se de violações de forma ágil e eficaz.
Considerando o projeto de migração para a nuvem e as necessidades I e II, o conjunto de normas mais adequado para atender a esses dois objetivos de forma integrada é
Acerca de procedimentos de segurança e da gestão da segurança da informação, julgue o próximo item.
Conforme a norma ISO 27001, no tratamento de riscos, a seleção e a implementação de controles de segurança da informação são formalmente justificadas por meio da declaração de aplicabilidade, que registra os controles adotados e excluídos e suas respectivas motivações.
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá:
• O: fortalecer a imagem de segurança corporativa;
• KR1: aumentar a taxa de ataques identificados por comportamento anômalo;
• KR2: elevar o nível de conformidade com a ISO 27001 de 50% para 70%;
• KR3: substituir todos os equipamentos de segurança obsoletos.
Considerando o framework de gestão OKR, o(s) KR apropriado(s) é(são):
Sobre a norma ISO/IEC 27001, analise os itens e assinale a alternativa CORRETA:
I - Refere aos requisitos para assegurar a imparcialidade nas atividades de avaliação de conformidade.
II - Padrão internacional para a Gestão de Segurança da Informação (SGSI).
III - Fornece requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema focando em como as organizações devem gerenciar conflitos de interesse.
IV - É uma norma desenvolvida pela ISO e pela IEC para criar uma estrutura de políticas, processos e controles para proteger dados sensíveis contra ameaças diversas.
(__)O controle de "Inteligência de Ameaças" (Threat Intelligence) foi incluído para exigir que as organizações coletem e analisem informações sobre ameaças para fornecer conscientização sobre o ambiente de segurança e facilitar ações preventivas.
(__)A norma ISO/IEC 27001 exige obrigatoriamente a implementação de todos os controles listados no Anexo A, independentemente do resultado da avaliação de riscos, para que a organização obtenha a certificação de conformidade.
(__)A "Segurança em Nuvem" (Cloud Services) passou a ser um controle específico, tratando da aquisição, uso, gerenciamento e saída de serviços de nuvem em conformidade com as políticas de segurança da informação da organização.
(__)O conceito de "Mascaramento de Dados" (Data Masking) é tratado como um controle técnico para limitar a exposição de dados sensíveis, em alinhamento com legislações de proteção de dados, como a Lei Geral de Proteção de Dados Pessoais (LGPD).
(__)O Sistema de Gestão de Segurança da Informação (SGSI) foca exclusivamente em ativos tecnológicos e hardware, excluindo processos de recursos humanos e gestão de infraestrutura física da sua estrutura de análise de risco.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
I. A ISO/IEC 27001 define requisitos para um Sistema de Gestão de Segurança da Informação, orientando empresas a estabelecer, implementar e melhorar continuamente controles de segurança.
II. A ISO/IEC 27005 apresenta diretrizes para o gerenciamento de riscos em segurança da informação.
III. A ISO/IEC 27002 fornece diretrizes e boas práticas para implementar controles de segurança, detalhando medidas técnicas e organizacionais.
IV. A ISO/IEC 20000 trata de práticas de gerenciamento de serviços de TI, possuindo foco diferente da segurança da informação.