No processo de certificação da norma ABNT NBR ISO/IEC 27001,...

Próximas questões
Com base no mesmo assunto
Q3504201
Segurança da Informação Norma ISO 27001 ,
Ano: 2025 Banca: FUNCERN Órgão: IF-RN Prova: FUNCERN - 2025 - IF-RN - Professor EBTT - Área: Rede de Computadores |
Q3504201 Segurança da Informação
No processo de certificação da norma ABNT NBR ISO/IEC 27001, são exigidos documentos sobre o tratamento de riscos da segurança da informação. Especificamente, deve-se listar e justificar a exclusão e a inclusão de quaisquer controles do Anexo A da norma, bem como indicar quais deles estão implementados. Ao documento gerado nesse processo de certificação, dá-se o nome de
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: D - Declaração de Aplicabilidade.

Tema central da questão

Esta questão aborda um ponto fundamental da ISO/IEC 27001: a documentação exigida no processo de certificação, especialmente sobre tratamento de riscos e os controles do Anexo A da norma. Compreender o papel de cada documento neste contexto é essencial para quem presta concursos na área de Segurança da Informação.

Resumo teórico

A ISO/IEC 27001 é a principal norma internacional para Sistemas de Gestão da Segurança da Informação (SGSI). Seu objetivo é proteger informações sob todos os aspectos. Um dos passos-chave é a análise e tratamento de riscos, onde a organização avalia ameaças, vulnerabilidades e define quais controles do Anexo A serão aplicados, justificados e implementados. Este processo precisa ser formalizado em um documento específico exigido na certificação chamado "Declaração de Aplicabilidade" (Statement of Applicability).

Fonte: ABNT NBR ISO/IEC 27001:2013, Seção 6.1.3 d) e 6.1.3 e).

Justificativa da alternativa correta (D)

A Declaração de Aplicabilidade é o documento que:

  • Lista todos os controles do Anexo A da ISO 27001
  • Justifica quais controles foram incluídos ou excluídos
  • Indica qual o status de implementação de cada controle

Ela é obrigatória para o processo de certificação e serve tanto como um guia para implementação quanto como evidência para auditorias.

Análise das alternativas incorretas

A - Plano de Tratamento de Riscos: Este plano detalha as ações para tratar os riscos identificados, mas não lista nem justifica os controles do Anexo A. Ele complementa, mas não substitui a Declaração de Aplicabilidade.

B - Política de Segurança da Informação: Documento geral que define as diretrizes da segurança. Não é usada para listar ou justificar controles específicos do Anexo A.

C - Relatório de Avaliação de Riscos: Apresenta os riscos identificados e sua avaliação, mas não mostra a justificativa dos controles implementados ou não implementados do Anexo A.

Estratégia para questões desse tipo

Atente-se para palavras-chave como "listar", "justificar", "controles do Anexo A" e "implementados". Sempre que aparecerem em questões de ISO 27001, pense na Declaração de Aplicabilidade, pois ela é a única exigida formalmente para relacionar esses pontos.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Gabarito: D) Declaração de Aplicabilidade

"...São 105 controles e todos eles são importantes e exercem uma função no processo de Gestão de Segurança. Entretanto, não há necessariamente uma ordem a ser implementada, muito menos a obrigatoriedade de se realizar todos. Agora um detalhe... Caso algum não seja realizado, deve-se destacar tal ponto e a referida justificativa de não se implementar o referido controle em um documento de suma importância, chamado de DECLARAÇÃO DE APLICABILIDADE."

Caiu uma questão sobre esse assunto na prova da CGU2022: Q1891233

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas