Questões de Concurso
Sobre norma iso 27001 em segurança da informação
Foram encontradas 815 questões
● Ausência de backups testados e atualizados.
● Falta de segmentação da rede e uso de senhas fracas.
● Política de Segurança da Informação não revisada nos últimos 5 anos.
● Comunicação confusa entre setores durante a resposta ao incidente, sem canal oficial para reporte.
● Acesso físico irrestrito à sala dos servidores.
Considerando as boas práticas de segurança da informação, qual seria a medida mais abrangente e prioritária a ser adotada após o incidente, visando a reduzir riscos futuros e alinhar a empresa às normas internacionais?
Com base nessa situação hipotética, assinale a opção que apresenta, segundo a ISO/IEC 27001, a ação de tratamento de risco adotada.
( ) Na Gestão de Segurança da Informação (ISO 27001), a definição do escopo do SGSI deve obrigatoriamente levar em conta o contexto da organização (questões internas e externas) e os requisitos das partes interessadas.
( ) Na Gestão de Continuidade do Negócio, o RPO (Recovery Point Objective) define a idade máxima dos dados que devem ser recuperados após um incidente, representando o volume de perda de dados aceitável.
( ) Na Gestão de Identidade e Acesso, o OpenID Connect (OIDC) funciona como uma camada de identidade construída sobre o protocolo OAuth 2.0, adicionando a capacidade de autenticação de usuários e a obtenção de informações básicas de perfil.
As afirmativas são, respectivamente,
A ISO/IEC 27001 estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI).
Assinale a alternativa correta com base na sua finalidade e princípios.
1. SIEM é o acrônimo para Gestão das Informações e Eventos relacionados à Segurança.
2. A ISO 27001 provê um guia de boas práticas para implementar controles e processos de segurança da informação em uma organização.
3. A LGPD do Brasil implementa recomendações de gestão da segurança da informação de modo amplo e abrangante, o que contribui para a proteção de dados.
Assinale a alternativa que indica todas as afirmativas corretas.
I.A Declaração de Aplicabilidade (SoA) é um documento obrigatório que lista todos os controles selecionados do Anexo A, a justificativa para sua seleção, se estão implementados ou não, e a justificativa para a exclusão de quaisquer controles.
II.A análise de riscos, conforme a ISO 27001, deve obrigatoriamente seguir a metodologia quantitativa, calculando a Expectativa de Perda Anual (ALE) para cada ativo de informação identificado no escopo do SGSI.
III.O controle A.12.3 do Anexo A, referente a backup, especifica que cópias de segurança de informação, software e imagens de sistema devem ser realizadas e testadas regularmente de acordo com uma política de backup definida e acordada.
Está correto o que se afirma em:
A opção que não pertence, de forma direta ou indireta, a essa lista de dez cláusulas é
I. Planejamento e controle operacionais – estabelecer critérios e implementar controle dos processos.
II. Avaliação de riscos da segurança da informação – realizar avaliações de riscos em intervalos planejados.
III. Tratamento de riscos da segurança da informação – implementar o plano de tratamento de riscos.
Quais estão corretas?
Com relação às normas apontadas e a proteção demandada pela natureza sensível dos dados pessoais de saúde, analise os itens a seguir:
I. As normas ISO/IEC 27001 e 27002 são padrões internacionais que estabelecem um Sistema de Gestão de Segurança da Informação (SGSI), sendo a primeira voltada para estabelecimento de um código de prática com diretrizes e controles de segurança da informação e a segunda para gestão de riscos de segurança da informação.
II. Uma forma de demonstração da conformidade com os princípios de segurança exigidos por leis, como a LGPD e o GDPR, é a implementação e adequação institucional às normas ISO/IEC 27001 e 27002.
III. A utilização do SGSI proposto pelas normas ISO/IEC 27001 e 27002 promovem uma abordagem de segurança da informação baseada em riscos, que é o que a LGPD e o GDPR exigem na prática, além de promoverem um roteiro prático para as organizações cumprirem as exigências de segurança e privacidade.
Está correto o que se afirma em
Coluna 1
1. ISO/IEC 27001.
2. ISO/IEC 27002.
3. ISO/IEC 27005.
Coluna 2
( ) Essa norma oferece às empresas orientações para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação.
( ) Essa norma fornece orientações sobre a gestão de riscos de segurança da informação, com o objetivo de apoiar a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) tendo como base outra norma.
( ) É uma norma internacional que fornece orientações para organizações que desejam estabelecer, implementar e aprimorar um SGSI com foco em cibersegurança.
( ) Ao seguir as diretrizes desta norma, as empresas podem adotar uma abordagem proativa na gestão de riscos de segurança cibernética e proteger informações críticas contra acessos não autorizados e perdas.
( ) É a norma mais conhecida no mundo para sistemas de gestão de segurança da informação, determinando os requisitos que os SGSI devem atender.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:
Em relação à assinatura digital, aos sistemas IDS/IPS e às normas ISO 27001 e ISO 27002, julgue o item seguinte.
A ISO/IEC 27001 define apenas aspectos técnicos de segurança da informação, não abordando requisitos de gestão ou melhoria contínua dos processos.
Considerando esse contexto, selecione a opção que apresenta um exemplo de controle físico previsto na ISO/IEC 27001.
Com base nesse cenário, assinale a opção que apresenta apenas controles tecnológicos previstos na norma ISO/IEC 27001.