Alternativa correta: C - Realizar a classificação dos ativos de informação para definir níveis de proteção adequados.

1. Tema central: A questão aborda a implementação da ISO/IEC 27001:2022 em um sistema de gestão de segurança da informação (SGSI), focando em práticas que garantem proteção efetiva aos ativos de informação da empresa.

2. Resumo teórico: A ISO/IEC 27001 é uma norma internacional que define requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI. Um de seus princípios fundamentais é a classificação dos ativos de informação, que permite aplicar níveis de proteção conforme a sensibilidade e importância de cada ativo. Isso garante que dados confidenciais recebam proteções adequadas, enquanto recursos menos críticos possam ter controles simplificados.

Segundo a própria norma (ISO/IEC 27001:2022, Anexo A), a identificação, classificação e controle de ativos são etapas essenciais para mitigar riscos de forma proporcional.

3. Justificando a correta (C): Classificar ativos é um passo obrigatório para proteger as informações conforme sua criticidade, confidencialidade, integridade e disponibilidade. Assim, a empresa pode definir métodos de acesso, armazenamento, transporte e descarte adequados, alinhando-se exatamente aos requisitos da ISO 27001.

4. Por que as demais estão incorretas?

• A: Permitir acesso irrestrito contraria o princípio do privilégio mínimo, que recomenda acesso apenas ao necessário. Facilita vazamentos e exposição de dados.
• B: Apenas antivírus não cobre ameaças como acessos indevidos, falhas humanas ou ataques internos. A norma exige abordagem ampla e multicamadas.
• D: Ignorar políticas formais é erro grave. A ISO 27001 exige políticas documentadas e comunicadas para padronizar comportamentos seguros.
• E: Excluir monitoramento e auditoria impede detecção de incidentes e a verificação da efetividade dos controles, ações obrigatórias pela norma.

5. Estratégia de interpretação: Busque sempre pela alternativa que siga normas reconhecidas e aborde controles estruturados. Desconfie de opções que indicam ausência de controles, confiança apenas em tecnologia ou ignoram políticas formais – são pegadinhas frequentes em provas!

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Essa da pra acertar sem nem conhecer a norma