A ISO 27002 irá sugerir a implementação dos controles necessários para a organização. Alguns controles exigem justificativa caso a organização não o implemente.

Pra mim, o erro está em afirmar que a ISO27001 trata das práticas. As práticas estão na ISO27002. A ISO27001 trata apenas dos requisitos de um Sistema de Gestão de Segurança da Informação.

Eu colocava Recuso na prova:

O item está correto ao afirmar que a NBR ISO/IEC 27001:2013 lida com práticas de gestão de segurança da informação, a seleção, implementação e gerenciamento de controles, considerando os ambientes de risco da organização.

A norma aborda vários aspectos importantes, como:

1. Gestão de riscos: A norma orienta as organizações a identificarem, analisarem e tratarem os riscos à segurança da informação. Isso inclui a seleção de controles apropriados para mitigar esses riscos, o que está em linha com o que é mencionado na questão.
2. Controles de segurança: A ISO/IEC 27001 se concentra na implementação de controles baseados na análise de risco da organização. Esses controles são selecionados com base nos riscos identificados para garantir a proteção da confidencialidade, integridade e disponibilidade da informação.
3. Ambientes de risco: A norma enfatiza que o contexto organizacional e seus ambientes de risco devem ser avaliados continuamente para garantir que os controles de segurança sejam eficazes diante de ameaças e vulnerabilidades novas ou em evolução.

gabarito tinha que ser certo a cebraspe mais uma vez errou

1. "A citada norma tem como escopo práticas de gestão de segurança da informação...":

• Correto. O objetivo principal da ISO 27001 é especificar os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Um SGSI é fundamentalmente um conjunto de práticas de gestão.

1. "...e normas de segurança da informação...":

• Correto (no contexto). Embora a ISO 27001 seja ela mesma uma norma que define o SGSI, ela também orienta a organização a identificar e aplicar outras "normas" ou requisitos relevantes para sua segurança. Mais diretamente, o Anexo A da ISO 27001 lista um conjunto de objetivos de controle e controles que são derivados da ISO 27002 (que é uma norma de código de prática para controles de segurança da informação). Assim, ao implementar um SGSI conforme a ISO 27001, a organização está, de fato, lidando com a aplicação de "normas" ou melhores práticas de segurança da informação na forma de controles.

1. "...incluindo a seleção, a implementação e o gerenciamento de controles...":

• Correto. Uma parte crucial do SGSI é o processo de tratamento de riscos, que envolve selecionar controles apropriados (muitas vezes referenciando o Anexo A), implementá-los e depois gerenciá-los (monitorar, revisar, manter e melhorar) continuamente.

1. "...levando em consideração os ambientes de risco da segurança da informação da organização.":

• Correto. A abordagem da ISO 27001 é fundamentalmente baseada em risco. A organização deve conduzir uma avaliação de riscos de segurança da informação para identificar ameaças, vulnerabilidades e os riscos associados. A seleção e implementação de controles são direcionadas pelos resultados dessa avaliação de riscos e pelo processo de tratamento de riscos. O SGSI como um todo é adaptado ao contexto e ao ambiente de risco específico da organização.

Portanto, a afirmação descreve adequadamente o escopo e os elementos centrais da norma ABNT NBR ISO/IEC 27001:2013. Ela estabelece um sistema de gestão que engloba a aplicação de controles (baseados em normas/boas práticas de segurança) de forma orientada a riscos.

A ISO/IEC 27001:2013 realmente trata de gestão de segurança da informação e exige a seleção, implementação e gerenciamento de controles, considerando o ambiente de risco.

O problema da afirmativa está na expressão “normas de segurança da informação”: a ISO 27001 não define normas de segurança da informação, mas sim requisitos de um Sistema de Gestão de Segurança da Informação (SGSI). Ela orienta a implementação de controles, mas não estabelece normas independentes de segurança.