Uma organização de grande porte, com unidades
distribuídas em diferentes regiões, decidiu revisar sua
Política de Segurança da Informação após identificar
inconsistências internas: ausência de critérios formais
para classificação de dados, indefinição sobre
responsabilidades quanto ao uso de credenciais
privilegiadas e mistura, no mesmo documento, de
diretrizes estratégicas com instruções técnicas
detalhadas de configuração de sistemas. Durante as
discussões, surgiram divergências entre a equipe técnica
e a gestão executiva acerca do escopo adequado da
política e de sua relação com normas complementares e
procedimentos operacionais. À luz das boas práticas em
segurança da informação, assinale a alternativa
CORRETA.

Question

Uma organização de grande porte, com unidades
distribuídas em diferentes regiões, decidiu revisar sua
Política de Segurança da Informação após identificar
inconsistências internas: ausência de critérios formais
para classificação de dados, indefinição sobre
responsabilidades quanto ao uso de credenciais
privilegiadas e mistura, no mesmo documento, de
diretrizes estratégicas com instruções técnicas
detalhadas de configuração de sistemas. Durante as
discussões, surgiram divergências entre a equipe técnica
 e a gestão executiva acerca do escopo adequado da
política e de sua relação com normas complementares e
procedimentos operacionais. À luz das boas práticas em
segurança da informação, assinale a alternativa
CORRETA. Alternativa A: A política institucional pode prescindir de aprovação
formal da alta administração, desde que os controles
técnicos estejam devidamente implementados. Ou Alternativa B: A revisão periódica da política é facultativa, pois sua
estabilidade normativa contribui para a previsibilidade
organizacional. Ou Alternativa C: A Política de Segurança deve detalhar tecnicamente
todos os procedimentos operacionais de
configuração de firewall, antivírus e backups, de
modo a evitar interpretações divergentes pelas
equipes técnicas. Ou Alternativa D: A classificação da informação, quando prevista em
política institucional, tende a orientar a definição de
controles proporcionais ao nível de sensibilidade dos
dados tratados.  Ou Alternativa E: A responsabilidade pela segurança da informação
restringe-se à área de TI, visto que os controles
tecnológicos concentram os principais mecanismos
de proteção.

MANOELA MACEDO · Accepted Answer

Alternativa [D] A classificação da informação, quando prevista em
política institucional, tende a orientar a definição de
controles proporcionais ao nível de sensibilidade dos
dados tratados.  A — Incorreta: A Política de Segurança deve ser formalmente aprovada pela alta administração, pois isso garante autoridade, alinhamento estratégico e obrigatoriedade.B — Incorreta: A revisão não é facultativa; deve ser periódica, para acompanhar mudanças em riscos, tecnologia e no negócio.C — Incorreta: A política deve ser estratégica e de alto nível. Detalhes técnicos (firewall, antivírus, backup) ficam em normas e procedimentos, não na política.D — Correta: A classificação da informação orienta os controles, permitindo aplicar medidas proporcionais à sensibilidade dos dados. GABARITOE — Incorreta: A segurança da informação é responsabilidade de toda a organização, não apenas da TI.

🚀 Quer mais performance?

🚀 Quer mais performance?

Uma organização de grande porte, com unidades distribuídas ...

Comentários

Clique para visualizar este comentário

Questões de assuntos semelhantes

Provas relacionadas