Durante uma auditoria de conformidade com a ABNT NBR ISO/IEC...
Próximas questões
Com base no mesmo assunto
Ano: 2026
Banca:
FGV
Órgão:
TJ-RJ
Prova:
FGV - 2026 - TJ-RJ - Analista Judiciário - Tecnologia da Informação - Analista de Projetos |
Q3878369
Segurança da Informação
Durante uma auditoria de conformidade com a ABNT NBR ISO/IEC 27001:2013 em um hospital, foi identificado que o armazenamento de prontuários na nuvem foi terceirizado, mas não foi realizada uma avaliação formal de riscos nem foram estabelecidas cláusulas contratuais sobre segurança da informação com o provedor. Além disso, nesse processo, os dados estavam sendo transmitidos sem a criptografia adequada.
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá:
De forma a estar em conformidade com a norma e mitigar os riscos encontrados, o hospital deverá:
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: E
Fundamento decisivo: A decisão dependia de comparar as três falhas descritas no enunciado — falta de avaliação formal de riscos, ausência de cláusulas contratuais de segurança e ausência de criptografia — com a única alternativa que corrige todas elas.
Tema central: Gestão de riscos terceirizados
Análise das alternativas
A
Errada
Está errada porque propõe encerrar imediatamente o contrato e migrar para servidores locais, mas a norma não impõe abandonar a nuvem para sanar as falhas descritas. O problema do caso é de gestão de riscos e de controles aplicáveis ao fornecedor, não de proibição da terceirização em si.
B
Errada
Está errada porque uma política interna de confidencialidade e a seleção de opções de tratamento não bastam para o caso. Faltam justamente os pontos centrais exigidos pelo enunciado: avaliação formal de riscos, cláusulas contratuais de segurança com o provedor e proteção criptográfica adequada.
C
Errada
Está errada porque um relatório genérico de conformidade do provedor não substitui a avaliação de riscos da própria organização nem a formalização contratual de requisitos de segurança. Além disso, manter o contrato sem alterações deixa sem correção as não conformidades expressamente identificadas.
D
Errada
Está errada porque backup local e redundância tratam, no máximo, aspectos de disponibilidade, mas não resolvem as falhas centrais do caso. Permanecem sem tratamento a ausência de avaliação formal de riscos, a falta de cláusulas contratuais de segurança e a transmissão sem criptografia adequada.
E
Certa
A alternativa E está correta porque corrige as três não conformidades apontadas no caso: prevê avaliação de riscos, formaliza contrato com cláusulas de segurança com o provedor e implementa criptografia dos dados em trânsito e em repouso.
Pegadinha da questão
A confusão explorada foi tratar medidas parciais como se resolvessem o caso inteiro: selecionar tratamento sem avaliação prévia, confiar em backup ou redundância, ou aceitar documento genérico do provedor, ignorando que o enunciado exigia simultaneamente correção da gestão de riscos, da relação contratual com o fornecedor e da proteção dos dados.
Dica para questões semelhantes
- Quando o enunciado listar não conformidades específicas, procure a alternativa que corrija todas elas de forma cumulativa, não apenas uma parte.
- Em terceirização, relatório do fornecedor não substitui a obrigação da própria organização de avaliar riscos e formalizar requisitos de segurança em contrato.
- Selecionar tratamento de riscos não basta sem avaliação formal prévia.
- Se o risco concreto descrito envolver transmissão sem proteção adequada, a medida compatível é implementar proteção criptográfica correspondente.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Conheça nossos planos