A segurança da informação deve ser apoiada por políticas es...

Próximas questões
Com base no mesmo assunto
Q3409311
Segurança da Informação ISO 27002 ,
Ano: 2025 Banca: CESPE / CEBRASPE Órgão: STM Prova: CESPE / CEBRASPE - 2025 - STM - Analista Judiciário - Área: Apoio Especializado - Especialidade: Suporte em Tecnologia da Informação |
Q3409311 Segurança da Informação
Em relação à segurança da informação em organizações, julgue o item a seguir, com base na norma ABNT NBR ISO/IEC 27002:2022.
A segurança da informação deve ser apoiada por políticas específicas para cada tópico, de acordo com a necessidade da organização, além de ser necessária a implementação de controles de segurança da informação. 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: C - certo

1. Tema central da questão

Esta questão aborda a importância das políticas e controles de segurança da informação dentro das organizações, conforme orienta a norma ABNT NBR ISO/IEC 27002:2022. O foco está em saber se a norma exige políticas específicas e implementação de controles para diferentes tópicos de segurança.

2. Resumo teórico

A ISO/IEC 27002:2022 é uma norma internacional que guia as organizações na implementação de controles de segurança da informação. Ela recomenda que as organizações elaborem políticas específicas para temas relevantes à sua realidade (por exemplo, acesso lógico, uso de ativos, criptografia), sempre adaptando essas políticas às suas necessidades.

Além disso, a norma reforça a necessidade de implementar controles para proteger informações e ativos. Esses controles podem ser técnicos, físicos ou administrativos, e devem ser escolhidos conforme o contexto e os riscos identificados.

Referência: ISO/IEC 27002:2022, seções 5 a 8.

3. Justificativa da alternativa correta (C)

A assertiva está correta porque reflete dois pilares da ISO/IEC 27002:2022:

  • Necessidade de políticas específicas sobre temas de segurança, ajustadas à realidade da organização.
  • Obrigatoriedade de implementar controles de segurança para proteger informações.

Essas medidas garantem que a organização atue conforme seus riscos e necessidades, promovendo uma proteção adequada.

4. Estratégia para interpretação

Ao responder questões desse tipo, busque por afirmações que:

  • Descrevem adaptação à necessidade da organização (flexibilidade é um princípio da ISO 27002).
  • Ressaltam a implementação de controles em conformidade com políticas claras.

Cuidado com pegadinhas como exigir políticas “únicas” ou “universais”, pois a ISO reforça a personalização.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

correto

A segurança da informação eficaz realmente requer uma abordagem abrangente, que inclua tanto políticas específicas quanto a implementação de controles.

Aqui está o porquê:

  1. Políticas Específicas por Tópico: Uma política de segurança da informação geral é fundamental, mas ela precisa ser desdobrada em políticas mais específicas para cada área ou necessidade. Por exemplo:
  • Política de uso aceitável de recursos de TI.
  • Política de senhas.
  • Política de acesso à informação.
  • Política de classificação da informação.
  • Política de continuidade de negócios.
  • Política de segurança para dispositivos móveis. Essas políticas detalham como os princípios gerais da política macro devem ser aplicados em cenários específicos, tornando as diretrizes mais claras e executáveis.
  1. De Acordo com a Necessidade da Organização: A segurança não é um "tamanho único". As políticas devem ser customizadas para os riscos, o ambiente, a cultura e os objetivos de negócio de cada organização. Uma empresa de saúde terá necessidades e regulamentações diferentes de uma startup de tecnologia, por exemplo.
  2. Implementação de Controles de Segurança da Informação: As políticas, por si só, são apenas diretrizes. Para que a segurança seja efetiva, é crucial que essas políticas sejam apoiadas pela implementação de controles de segurança. Os controles são as salvaguardas (técnicas, operacionais e gerenciais) que reduzem o risco e garantem que as políticas sejam cumpridas.
  • Controles Técnicos: Firewalls, sistemas de detecção de intrusão, criptografia, antivírus, autenticação multifator.
  • Controles Organizacionais/Gerenciais: Treinamento de conscientização em segurança, processos de gestão de incidentes, planos de continuidade de negócios, segregação de funções.
  • Controles Físicos: Câmeras de segurança, controle de acesso físico, alarmes.

Em resumo, as políticas definem o que deve ser feito (as regras e diretrizes), enquanto os controles estabelecem como (as medidas práticas) isso será feito para proteger a informação. Um sistema de segurança da informação robusto depende da sinergia entre esses dois pilares.

Item correto. A norma ABNT NBR ISO/IEC 27002:2022 preconiza que a gestão de segurança da informação se baseie em um conjunto de políticas (uma geral e outras específicas por tema), alinhadas às necessidades da organização, e na implementação de controles para tratar os riscos.

Siga-me @rexconcurseiro

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas