Na implementação da ISO/IEC 27001:2022, a empresa em questã...

Com base no mesmo assunto

Ano: 2025 Banca: CESPE / CEBRASPE Órgão: STM Prova: CESPE / CEBRASPE - 2025 - STM - Analista Judiciário - Área: Apoio Especializado - Especialidade: Análise de Sistemas |

Q3407649 Segurança da Informação

Texto associado

Certa empresa brasileira de médio porte, que desenvolve soluções de software para o setor financeiro e armazena informações sensíveis de clientes, como dados bancários, documentos pessoais e credenciais de acesso, iniciou um processo de adequação à norma ISO/IEC 27001:2022, implementando um sistema de gestão da segurança da informação (SGSI). A equipe de segurança da empresa criou políticas para garantir confidencialidade, integridade, disponibilidade e autenticidade das informações e adotou criptografia assimétrica, controle de acesso baseado em função, e o NIST Cybersecurity Framework para resposta a incidentes. Foram identificadas vulnerabilidades de injeção SQL e a empresa sofreu um ataque DDoS que afetou a disponibilidade do sistema.

Com base na situação precedente, julgue o item a seguir

Na implementação da ISO/IEC 27001:2022, a empresa em questão pode optar por não realizar avaliação de riscos, desde que adote integralmente todos os controles sugeridos pela norma ISO/IEC 27002:2022, pois o cumprimento completo dos controles é suficiente para demonstrar conformidade com a norma principal.

Certo

Errado

Incorreta. Gabarito oficial da banca:

Salve essa questão em um caderno para revisar depois. Adicionar a um caderno

teste

Parabéns! Você acertou!

Mantenha o ritmo! Salve no caderno para revisar depois. Adicionar a um caderno

teste

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: E – Errado

Tema central da questão:
A questão trata sobre a necessidade da avaliação de riscos na implementação da ISO/IEC 27001:2022. Ela aborda se apenas adotar todos os controles da ISO/IEC 27002:2022 é suficiente para demonstrar conformidade com a norma principal, sem realizar a avaliação de riscos.

Resumo teórico:
A ISO/IEC 27001 é a norma internacional para Sistemas de Gestão da Segurança da Informação (SGSI). Seu foco está no processo de gestão de riscos: identificar, analisar, avaliar e tratar riscos à segurança das informações da organização. Embora a ISO/IEC 27002 forneça um catálogo de controles, é a avaliação de riscos que determina quais controles são realmente necessários para proteger as informações, considerando o contexto e as ameaças específicas da empresa.

Segundo a própria norma (ISO/IEC 27001:2022 – cláusula 6.1.2), a avaliação de riscos é obrigatória e insubstituível. Cumprir apenas os controles da ISO/IEC 27002 não garante conformidade, pois a ISO/IEC 27001 exige que as decisões sobre controles sejam baseadas em riscos identificados e avaliados.

Justificativa da alternativa correta:
Está ERRADO afirmar que é possível pular a avaliação de riscos apenas adotando todos os controles da ISO/IEC 27002. A ISO/IEC 27001 exige que as organizações conduzam uma avaliação formal de riscos antes de decidir quais controles adotar. Ou seja, o processo de avaliação de riscos é essencial, mesmo que todos os controles sejam implementados.

Estratégia para resolver questões similares:
Sempre que a questão sugerir que basta seguir uma lista de controles sem avaliar riscos ou contexto, desconfie. A ISO/IEC 27001 é orientada por riscos, e não apenas por cumprimento formal de controles.

Pegadinha clássica:
Confundir a ISO/IEC 27002 (guia de controles) com a ISO/IEC 27001 (norma de gestão, obrigatória para certificação). A primeira auxilia, mas não substitui o processo de gestão de riscos da segunda.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

A ISO/IEC 27001:2022 exige explicitamente que a organização realize um processo de avaliação de riscos de segurança da informação e um tratamento de riscos. Esses processos são mandatórios e fazem parte do sistema de gestão de segurança da informação (SGSI).

ERRADO.

direto da carta: "*excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document".

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

🚀 Mais performance?