Considere as afirmativas abaixo sobre políticas de seguranç...
I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize.
II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos.
Quais afirmativas estão corretas?
Não consegui entender o porque da afirmativa I está incorreta.
I)INCORRETO. Segundo a ISO 27002,4.1 Analisando/avaliando os riscos de segurança da informação",
Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização." (Minhas palavras>>)** A política de segurança da informação está mais para prover uma orientação, e apesar de prover uma estrutura para a análise e avaliação de risco, é responsabilidade da análise/avaliação avaliar as ameaças e riscos, e não da política de segurança.
--------------------
II) CORRETO. Segundo a ISO 27002,5.1 Política de segurança da informação,"Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes."
-----------------
III)CORRETO. Segundo a ISO 27002,5.1.1 Documento da política de segurança da informação,"
Convém que o documento da política contenha declarações relativas a:
a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução); b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;"
O erro da assertiva I está :
além de fornecer contramedidas para mitigá-las nem todos os riscos podem ser mitigados.
Ainda nao entendi por que nao considerar a I certa
Também considero a I correta.
Marquei E.