Questões de Concurso
Sobre norma iso 27001 em segurança da informação
Foram encontradas 815 questões
A norma em tela prevê que o SGSI inclua uma estrutura para definir objetivos e estabeleça direcionamento global para ações relativas à segurança da informação.
Em relação às normas de segurança da informação ISO 27001 e ISO 27002, analise as afirmativas a seguir.
I. No Brasil, já existem diversas empresas certificadas em ISO 27002.
II. Historicamente, a ISO 27001 deriva da norma britânica BS 7799‐2 tendo, por fim, substituído essa última.
III. A declaração de aplicabilidade é documento essencial a ser produzido durante a implantação da ISO 27002 nas empresas.
Assinale:
Quanto à gestão dos ativos, somente os ativos da área de TI devem ser inventariados, devendo cada um deles ser claramente identificado e descrito em detalhes, para serem restaurados no caso de incidente de segurança da informação.
O processo do Sistema de Gestão de Segurança da Informação (SGSI), estabelecido pela norma NBR ISO/IEC 27001:2006, se baseia no modelo PDCA (plan do check act).
Assinale‐a
O escopo e os limites de um sistema de gestão de segurança da informação são definidos na etapa de implementação e operação do sistema.
Para estabelecer o SGSI, é necessário definir a estratégia de avaliação dos riscos da organização.
Um processo de negócio, considerado um ativo de informação, deve ser classificado adequadamente pelo proprietário.
Supondo que, no banco de dados de uma organização, estejam armazenados dados que são apresentados na interface web de uma aplicação para seus usuários, é possível dispensar a classificação das informações, uma vez que a aplicação web manipula os dados e os apresenta para os usuários da aplicação.
Cabe ao controle de segurança dos arquivos do sistema exigir documento formal para que os usuários de uma organização tenham acesso ao servidor de arquivos.
Em um projeto para construção de área física com vistas à proteção de ativos de informação, devem ser considerados controles para prevenir ameaças como enchente e terremotos.
A NBR ISO/IEC n.º 27.001/2006 segue o ciclo PDCA e, na fase de implementação e operação, afirma que a organização deve formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, os recursos, as responsabilidades e as prioridades para a gestão dos riscos de segurança.
Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema de Gestão da Segurança da Informação (SGSI), devem-se identificar e avaliar as opções para o tratamento de riscos, cujas ações englobam a aceitação consciente dos riscos (desde que satisfaçam às políticas estabelecidas dentro da organização), bem como a possibilidade de transferência dos riscos para outras partes, como seguradoras e fornecedores.