Para resolver esta questão, precisamos compreender os princípios básicos da Norma ISO/IEC 27001, que estabelece os requisitos para um sistema de gestão de segurança da informação (SGSI). Esta norma é crucial para ajudar as organizações a protegerem suas informações de ameaças, garantindo integridade, confidencialidade e disponibilidade dos dados.

A ISO/IEC 27001 aborda diversas práticas e controles para implementar de forma eficaz a segurança da informação. Vamos analisar cada afirmação da questão e verificar sua veracidade com base nos requisitos da norma:

(1) A Alta Direção deve estabelecer uma política de segurança da informação que seja apropriada ao propósito da organização.

Esta afirmação é Verdadeira. De acordo com a ISO/IEC 27001, a alta direção de uma organização tem a responsabilidade de definir uma política de segurança da informação que reflita os objetivos e o direcionamento estratégico da organização. Essa política deve ser adequada ao propósito e contexto organizacional.

(2) A política de segurança da informação deve estar disponível como informação documentada.

Esta afirmação também é Verdadeira. A norma especifica que a política de segurança da informação deve ser estabelecida, implementada e mantida como informação documentada. Isso garante que todos na organização tenham acesso a diretrizes claras e consistentes sobre segurança da informação.

(3) A organização deve planejar as ações para considerar os riscos e oportunidades.

Esta afirmação é Verdadeira. A ISO/IEC 27001 requer que as organizações planejem ações para abordar riscos e oportunidades que possam afetar o funcionamento do SGSI. Isso é vital para a melhoria contínua e a eficácia do sistema de gestão.

Assim, a alternativa correta é a A - V − V − V.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

ISO 27001-2022

5.2 Política

A Alta Direção deve estabelecer uma política de segurança da informação que:

a) seja apropriada ao propósito da organização;

b) inclua os objetivos de segurança da informação (ver 6.2) ou forneça a estrutura para estabelecer

os objetivos de segurança da informação;

c) inclua o comprometimento de satisfazer os requisitos aplicáveis relacionados com a segurança

da informação;

d) inclua o comprometimento com a melhoria contínua do sistema de gestão da segurança

da informação.

A política da segurança da informação deve:

e) estar disponível como informação documentada;

f) ser comunicada dentro da organização;

g) estar disponível para as partes interessadas, conforme apropriado.

6 Planejamento

6.1 Ações para abordar riscos e oportunidades

6.1.1 Geral

Ao planejar o sistema de gestão da segurança da informação, a organização deve considerar

as questões referenciadas em 4.1 e os requisitos estabelecidos em 4.2, e determinar os riscos

e oportunidades que precisam ser abordados para:

a) assegurar que o sistema de gestão da segurança da informação possa alcançar seus resultados

pretendidos;

b) prevenir ou reduzir os efeitos indesejados; e

c) alcançar a melhoria contínua.

A organização deve planejar:

d) as ações para abordar estes riscos e oportunidades;