Questões de Concurso
Sobre norma iso 27001 em segurança da informação
Foram encontradas 815 questões
A ISO/IEC 27001:2022, em seu Anexo A, organiza os controles de segurança da informação em categorias funcionais com base no tipo de ameaça e nos mecanismos utilizados para sua mitigação. Cada grupo de controle está relacionado a um conjunto de ferramentas, recursos ou práticas específicas. Com base nisso, relacione os termos da Coluna A com os exemplos da Coluna B.
Coluna A (termos):
1. Controles Tecnológicos.
2. Controles de Pessoas.
3. Controles Físicos.
Coluna B (exemplos):
(__) Soluções como firewalls, sistemas de detecção de intrusão (IDS), criptografia ponta a ponta, autenticação multifator e políticas de segregação de redes.
(__) Barreiras estruturais, leitores biométricos em portas de acesso restrito, sensores de movimento, catracas eletrônicas e sistemas de CFTV.
(__) Cláusulas de confidencialidade em contratos, programas de capacitação sobre engenharia social, campanhas internas de conscientização e diretrizes para comportamento seguro.
Assinale a alternativa que apresenta a sequência da associação correta dos itens acima, de cima para baixo:
Sobre a auditoria interna do Sistema de Gestão da Segurança da Informação (SGSI), conforme a NBR ISO/IEC 27001:2022, considere as seguintes afirmações a seguir:
I. A organização deve estabelecer um programa de auditoria interna que defina frequência, métodos, responsabilidades e critérios.
II. O programa de auditoria deve considerar a criticidade dos processos auditados e resultados de auditorias anteriores.
III. As auditorias internas devem ser realizadas apenas por auditores externos para garantir imparcialidade.
É correto o que se afirma em:
Uma instituição financeira está revisando seus contratos com fornecedores de nuvem (cloud providers) para garantir conformidade com as normas de segurança da informação. Durante esse processo, a equipe de GRC (Governança, Risco e Compliance) identificou a necessidade de:
• Formalizar requisitos de segurança em contratos.
• Avaliar riscos específicos de terceirização.
• Implementar monitoramento contínuo.
Com base na NBR ISO/IEC 27001:2022 e 27002:2022, considere as seguintes afirmações a seguir:
I. O controle A.5.23 (Segurança da informação para uso de serviços em nuvem) da NBR ISO/IEC 27002:2022 fornece diretrizes para mitigar riscos associados a fornecedores, incluindo avaliação de controles de segurança antes da contratação.
II. A avaliação de fornecedores pode considerar certificações independentes (ex: NBR ISO/IEC 27001 ou SOC 2) como evidência de conformidade com requisitos de segurança.
III. A NBR ISO/IEC 27001:2022, por meio do controle A.5.22 (Gestão de segurança da informação nas relações com fornecedores), exige formalmente que contratos com fornecedores incluam cláusulas específicas sobre segurança da informação, especificações no uso de criptografia nos dados em repouso, e métodos de autenticação e autorização.
É correto o que se afirma em:
I. As contramedidas preditivas visam evitar incidentes futuros enquanto as de redução visam diminuir a probabilidade de uma ameaça ocorrer.
II. As contramedidas de detecção visam detectar incidentes e as repressivas visam reprimir e punir os causadores de um incidente.
III. A aceitação de risco também é uma possibilidade que dependendo do nível dos riscos uma organização pode optar por aceitá-lo.
Está correto o que se afirma em
As atividades que Juliana deve promover são, de fato, exigidas pela norma, nas seções principais de:
O analista Tiago foi incumbido de implementar, em determinado setor do MPU, dois controles previstos na NBR ISO/IEC 27001: o controle de trabalho remoto e o controle de mídia de armazenamento. A fim de harmonizar essa implementação com outras determinações do MPU que podem ser aplicáveis ao escopo de determinado controle, o analista deve ter em mente qual é o tipo de controle que está sendo implementado, à luz da norma.
À luz da NBR ISO/IEC 27001, os controles sendo implementados por Tiago pertencem, respectivamente, às categorias:
Julgue o próximo item, com base nas normas ABNT:NBR ISO/IEC 27001:2022 e ABNT:NBR ISO/IEC 27002:2022.
Na ABNT:NBR ISO/IEC 27001:2022, o capítulo que versa a respeito de liderança apresenta a diretriz que determina que a organização deva controlar as alterações planejadas e rever as consequências das alterações não intencionais.
( ) O padrão 27005 é o mais conhecido do mundo para sistemas de gerenciamento de segurança da informação (ISMS). Ele define os requisitos que um ISMS deve atender.
( ) O padrão 27002 é um modelo teórico para organizações que buscam proteger efetivamente seus funcionários contra ameaças internas. As empresas podem adotar uma abordagem reativa para o gerenciamento de riscos de segurança.
( ) O padrão ISO/IEC 27001 fornece às empresas de qualquer tamanho, e de todos os setores de atividade, orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação.
( ) O padrão 27002 é um padrão internacional que fornece orientação para organizações que buscam estabelecer, implementar e melhorar um sistema de gestão de segurança da informação (SGSI) focado em segurança cibernética.
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:
Em relação ao trabalho remoto, a norma ISO 27001 define as informações que podem ser acessadas remotamente.