Questões de Concurso Comentadas sobre segurança da informação
Foram encontradas 13.345 questões
Um programa de medição de segurança da informação deve contemplar análise e avaliação dos riscos.
É recomendável coletar, analisar e desenvolver os resultados de medições.
Para se identificarem as necessidades de informação, é necessário definir o escopo e selecionar as métricas de medição.
As métricas de um programa de medição de segurança da informação devem ser quantificáveis com base nos objetivos do sistema de gestão de segurança da informação.
A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa, devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação.
A política de segurança da informação de uma organização deve ser comunicada de maneira acessível e relevante a todos os usuários.
O documento de política de segurança da informação deverá conter a definição das responsabilidades gerais da gestão de segurança da informação. As responsabilidades específicas, como a gestão de incidentes de segurança da informação, devem ser contempladas em manuais de procedimentos.
Comprometimento e apoio visível dos colaboradores do nível gerencial fazem parte dos fatores críticos de sucesso para a implementação de segurança da informação dentro da organização.
A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.
O principal objetivo das políticas de segurança da informação é colaborar com a gestão da segurança da informação, orientando-a e apoiando-a administrativamente.
O documento de política de segurança da informação de uma empresa deve definir as políticas dessa área, com base nos objetivos do negócio, na legislação e na regulamentação pertinente.
Para que haja confiabilidade, o documento de política de segurança da informação deve permanecer inalterado ao longo do tempo.
Essa norma aborda o processo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora o sistema gestão de segurança da informação de uma organização.
Denomina-se declaração de riscos a declaração documentada que contém informações referentes aos objetivos de controle e controles pertinentes ao sistema de gestão de segurança da informação da organização.
Um evento de segurança da informação inesperado e que pode comprometer uma operação do negócio da organização é denominado incidente de segurança da informação.
A exclusão de controles considerados necessários deve ser justificada por meio do fornecimento de evidências a respeito da aceitação dos riscos pelas pessoas responsáveis.
O PP (protection profile) compõe os requisitos de auditoria para a avaliação do sistema.
O TSF (TOE (target of evaluation) security functions) representa as funções de segurança de um TOE que serão avaliadas.
A execução correta dos procedimentos de segurança da informação, em conformidade com normas e com a política de segurança da empresa, deve ser garantida pelos vários gestores, cada um em sua área.
A regulamentação de controles de criptografia obriga a conformidade do uso de criptografia com leis, acordos e regulamentações pertinentes.