Na gestão de ativos de informação, o conceito de Asset Owner...

Próximas questões
Com base no mesmo assunto
Q3885133 Segurança da Informação
Na gestão de ativos de informação, o conceito de Asset Owner, conforme a ISO/IEC 27002, é fundamental para a governança.
A principal responsabilidade do Proprietário do Ativo é 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: C

Fundamento decisivo: A expressão “principal responsabilidade do Proprietário do Ativo” exige distinguir governança de execução operacional. Pela ISO/IEC 27002, o owner é responsável pela gestão adequada do ativo, incluindo sua classificação e a definição dos requisitos apropriados de proteção, o que conduz ao gabarito C.

Tema central: Asset Owner na ISO 27002
Análise das alternativas
A
Errada
Está errada porque confunde propriedade do ativo com responsabilidade financeira. Pela base, o owner é o responsável nomeado pela gestão e proteção do ativo, não seu financiador.
B
Errada
Está errada porque descreve uma atividade operacional de rotina. Executar backup é tarefa técnica/operacional e não a responsabilidade principal do Asset Owner.
C
Certa
A alternativa C está certa porque atribui ao Asset Owner uma função de governança sobre o ativo: classificar a informação e definir ou assegurar os requisitos apropriados de segurança e proteção conforme o valor, a sensibilidade e a criticidade do ativo. Esse é o papel funcional do owner na ISO 27002, ligado à gestão adequada do ativo ao longo do ciclo de vida, e não à execução direta de tarefas operacionais.
D
Errada
Está errada porque monitorar e analisar logs é atividade de operação de segurança. A base distingue esse tipo de execução operacional das atribuições de governança do owner.
E
Errada
Está errada porque atribui ao owner uma função de desenvolvimento de software. Desenvolver código-fonte não integra a definição funcional de proprietário do ativo na ISO 27002.
Pegadinha da questão
A questão explora duas confusões reais: associar “owner” a dono financeiro e trocar responsabilidade de governança por execução operacional. Também induz a confundir o ativo de informação com o sistema técnico que o suporta.
Dica para questões semelhantes
  • Em questões sobre Asset Owner, separe atribuições de governança das tarefas técnicas de execução.
  • Na ISO 27002, classificação da informação e definição de proteção adequada apontam para o owner.
  • Responsabilidade financeira, backup, análise de logs e desenvolvimento não caracterizam, por si, a responsabilidade principal do Asset Owner.

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

No contexto da norma ISO/IEC 27002, o Asset Owner (Proprietário do Ativo ou Dono do Ativo) é a pessoa, cargo ou entidade designada como responsável final pela gestão, proteção e uso adequado de um ativo de informação específico ao longo de todo o seu ciclo de vida - ou seja, tem a função de definir os requisitos de segurança e a classificação do ativo.

letra c)

5.9 Inventário de informações e outros ativos associados

Deveres do proprietário

Convém que o proprietário do ativo seja responsável pela gestão adequada de um ativo ao longo de todo o ciclo de vida útil do ativo, assegurando que:

f)  restrições de acesso correspondam à classificação e que sejam eficazes e analisados criticamente de forma periódica;

c) a classificação seja analisada criticamente de forma periódica;

g ) as informações e outros ativos associados, quando excluídos ou descartados, sejam tratados de forma segura e removidos do inventário;

( a norma não traz esse item explicitamente, mas da para entender com base em que ela traz )

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo