Alternativa correta: C - certo

Tema central da questão: O item avalia o conhecimento do candidato sobre Política de Segurança da Informação conforme a ABNT NBR ISO/IEC 27002:2022, norma internacional amplamente utilizada para orientar organizações na gestão da segurança das informações.

Resumo teórico: Uma Política de Segurança da Informação é um documento estratégico que define as diretrizes, responsabilidades e princípios para proteger as informações de uma organização. Segundo a ISO/IEC 27002:2022, essa política deve ser definida pela organização, aprovada pela alta direção, publicada, comunicada a todos os envolvidos e reconhecida pelos colaboradores e partes interessadas. Além disso, a política deve ser periodicamente revisada, tanto em intervalos previamente definidos quanto em situações de mudanças significativas nos negócios, estrutura, tecnologia ou ambiente regulatório.

Esses requisitos visam garantir não só a clareza e a disseminação das regras, mas também que a política permaneça atualizada e efetiva frente aos riscos emergentes e demandas do contexto organizacional.

Justificativa da alternativa correta: A alternativa classificada como "Certo" está de acordo com os princípios estabelecidos pela ISO/IEC 27002:2022. O item descreve exatamente as etapas e cuidados exigidos: definição, aprovação, publicação, comunicação, reconhecimento e revisão periódica da política de segurança da informação. Fica evidente que esses pontos estão alinhados com a norma, especialmente com o controle 5.1 da ISO/IEC 27002:2022.

Estratégia para interpretar o enunciado: Atente-se para a presença de termos normativos, como "deve", que indicam obrigatoriedade, e observe se todas as etapas citadas correspondem ao que está previsto nas normas. O uso de adjetivos como "todos", "sempre" ou omissões de etapas importantes podem representar pegadinhas.

Resumo: O item está correto porque segue fielmente os requisitos normativos para a política de segurança da informação, conforme a ISO/IEC 27002:2022.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Correto

A alternativa está em total alinhamento com as melhores práticas e requisitos de governança de Segurança da Informação, conforme preconizado por normas internacionais como a ISO/IEC 27001.

Vamos analisar cada ponto:

• Definida pela organização: A política de segurança deve refletir as necessidades, riscos e objetivos específicos da própria organização. Não pode ser um documento genérico.
• Aprovada pela gerência: Para ter força e ser levada a sério, a política precisa do endosso e do compromisso da alta direção. Isso demonstra que a segurança da informação é uma prioridade estratégica.
• Publicada e comunicada: Não basta ter a política; ela precisa ser acessível e conhecida por todos que ela afeta. Isso garante que os colaboradores e outras partes saibam o que é esperado deles.
• Reconhecida pelo pessoal relevante e pelas partes interessadas relevantes: Significa que as pessoas devem não apenas ter acesso, mas entender e aceitar as regras estabelecidas na política. Em muitos casos, isso envolve treinamentos e termos de reconhecimento.
• Revisada em intervalos planejados: A segurança da informação não é estática. Novas ameaças surgem, tecnologias mudam e os objetivos da organização evoluem. Portanto, a política precisa ser revisada periodicamente (por exemplo, anualmente) para se manter relevante e eficaz.
• Na hipótese de ocorrência de mudanças significativas: Além das revisões programadas, a política deve ser atualizada imediatamente caso ocorram mudanças importantes no ambiente da organização (como aquisições, novas tecnologias, mudanças na legislação, grandes incidentes de segurança).

Essa abordagem garante que a política de segurança da informação seja um documento vivo, relevante e eficaz na proteção dos ativos de informação de uma empresa.

Aprovada pela GERÊNCIA?? Não é pela DIREÇÃO não!? Não é possível que ninguém entrou com recurso nessa questão!!

5

5.1 Política de segurança da informação

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os

requisitos do negócio e com as leis e regulamentações pertinentes.

Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e

demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção

de uma política de segurança da informação para toda a organização.

5.1.1 Documento da política de segurança da informação

Controle

Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e

comunicado para todos os funcionários e partes externas relevantes.

Certo.

A afirmação descreve corretamente o ciclo de vida de uma política de segurança da informação, alinhado a boas práticas e normas como a ISO 27001. Ela deve ser aprovada, publicada, comunicada e revisada periodicamente.

Siga-me @rexconcurseiro

Só eu não gostei da questão?

Tem que ser aprovado pela alta gestão, e publicado para todos. Não só os relevantes

Mas segue o jogo