Questões de Concurso
Sobre norma iso 27001 em segurança da informação
Foram encontradas 815 questões
Acerca da NBR ISO/IEC 27001:2013 e de sua aplicabilidade no sistema de gestão da segurança da informação (SGSI), julgue o item que se segue.
As decisões táticas e operacionais para avaliação de risco
devem ser descritas como processos relacionados a integridade
e confidencialidade. A disponibilidade não possui risco
operacional, logo não são descritas por esse processo.
Em relação a normativas de segurança da informação, analise as afirmativas abaixo:
I. A norma que trata de boas práticas de segurança da informação é a ISO/IEC 27002.
II. Para conhecer as diretrizes de um SGSI, deve-se utilizar a norma ISO/IEC 27001.
III. A recente norma ISO/IEC 27006 é uma evolução da norma ISO/IEC 27002, absorvendo os conceitos usados na norma ISO/IEC 27001.
Está correto somente o que se afirma em:
O conteúdo da norma ISO/IEC 27005 influenciou a criação de outras normas, tais como a ISO/IEC 27001 e ISO/IEC 27002.
Os processos do sistema de gerenciamento de segurança da informação (SGSI) devem ser estruturados segundo o modelo PDCA (plan-do-check-act), sendo o processo check responsável por implementar e operar a política, os controles, processos e procedimentos do SGSI.
Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades de controle.
A declaração de aplicabilidade contempla os objetivos de controle atualmente implementados e deve ser gerada na fase implementar e operar.
A conformidade garante a segurança na aplicação das normas.
Segundo a norma 27001, as organizações devem estabelecer e montar critérios de riscos de segurança da informação que incluam aceitação do risco.
A norma ABNT 27001, que inclui aspectos relacionados a seleção, implementação e gerenciamento de controles para a segurança da informação, fornece diretrizes para práticas de gestão e normas de segurança da informação para as organizações.
De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
A NBR 15999 é baseada na ISO 27001, que é considerada como ponto focal da discussão de normas de gestão de continuidade de negócios.
Entre as atividades típicas de uma equipe de tratamento de incidentes em redes de computadores, está a realização periódica de auditorias de conformidade, tomando por base o catálogo dos controles prescritos na norma ISO 27001:2006.
No controle de acessos, tanto físico quanto lógico, às instalações prediais e aos sistemas de computação do ministério, deve ser considerado o uso de autenticação por múltiplos fatores, pois esse é procedimento descrito na norma NBR 27001, no seu guia de implementação de vários controles, entre eles os relacionados ao objetivo Controle de Acesso à Rede.
Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.
Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.
Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.
O Act (agir), do modelo PDCA, aplicado aos processos do sistema de gestão de segurança da informação (SGSI), é responsável por implementar e operar a política, os controles, os processos e os procedimentos do SGSI.
Caso o controle de acesso aos sistemas corporativos de uma organização seja feito com base em perfis de pessoas, então, de acordo com as boas práticas, esses perfis devem ser aplicados apenas no nível hierárquico dos servidores e colaboradores.
Se, para manutenção de máquinas de uma organização é necessário eliminar quaisquer dados sensíveis das máquinas antes de serem manipuladas por pessoal externo à organização, diz-se que esse controle refere-se à proteção física dos ativos.
A política de segurança deve ser aprovada pelo gestor máximo da instituição, assinada pelo chefe da informática, e divulgada para o pessoal de tecnologia da informação e comunicação (TIC).