Com base na norma ISO/IEC 27001, julgue o item seguinte. A r...
Com base na norma ISO/IEC 27001, julgue o item seguinte.
A referida norma determina que, durante o planejamento do
sistema de gestão de segurança da informação, sejam tomadas
as medidas de prevenção e redução de efeitos indesejados dos
riscos relacionados ao escopo de gestão dos serviços de
tecnologia da informação.
No momento do planejamento a organização deve considerar .
Neste momento(planejamento) a organização não toma nenhuma medida como proposto pela assertiva.
Logo, gabarito errado.
Foco!
Apenas complementando.
GABARITO ERRADO
6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Geral
Quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar as questões referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e oportunidades que precisam ser consideradas para:
- a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos;
- b) prevenir ou reduzir os efeitos indesejados; e
- c) alcançar a melhoria contínua
FONTE: ISO 27001
Além do que foi apontado pelos colegas, eu entendi que o escopo é mais amplo, não somente a "gestão dos serviços de tecnologia da informação". Entendo que segurança da informação envolve todas as áreas da organização. Correto meu pensamento?
JUSTIFICATIVA: ERRADO. A norma ABNT NBR ISO/IEC 27001 não descreve o escopo a ser abordado; na prática, o escopo é definido pela organização.
4 Contexto da organização
4.1 Entendendo a organização e seu contexto
A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu sistema de gestão da segurança da informação.
NOTA
A determinação destas questões refere-se ao estabelecimento do contexto interno e externo da organização apresentado em 5.3 da ABNT NBR ISO 31000:2009
ABNT NBR ISO/IEC 27001:2013
Pág. 1
Só lembrando pessoal, o que eu entendi. A 27001 segue o PDCA e lembrem o mnemônico, EIOMAMM:
-Plan-(Estabelecer),
-Do-(Implementar e Operar),
-Check-(Monitorar e Analisar Criticamente),
-Act-(Manter e melhorar o SGSI)
Na fase de estabelecer (Planejar) nenhuma ação é tomada nesse sentido, isso vem apenas na fase de Implementar e Operar (DO) do ciclo PDCA. Na fase de estabelecer a organização procura entender o ambiente e os riscos de negócio e os impactos da segurança da informação.
NORMA ISO/IEC 27001:2013
REQUISITOS O SGSI:
- CONTEXTO DA ORGANIZAÇÃO
- LIDERANÇA
- PLANEJAMENTO: quando do planejamento do sistema de gestão da segurança da informação, a organização deve considerar as questões referenciadas nos tópicos assim como os requisitos, e determinar os riscos e oportunidades que precisam ser consideradas para: (a) assegurar que o sistema de gestão da segurança da informação pode alcançar seus resultados pretendidos; (b) prevenir ou reduzir os efeitos indesejados; e (c) alcançar a melhoria contínua.
- APOIO
- OPERAÇÃO
- AVALIAÇÃO DE DESEMPENHO
- MELHORIA
Portanto, no planejamento não são tomadas medidas de prevenção e redução de efeitos indesejados; nesse momento, a organização deve determinar os riscos e oportunidades que precisam ser consideradas para prevenir ou reduzir os efeitos indesejados.
Gab.: Errado