Analise as seguintes afirmativas sobre política de segurança...
I. Todas as informações e ativos associados com os recursos de processamento da informação devem ter um “proprietário” designado por uma parte definida da organização. O termo “proprietário” não significa que a pessoa realmente tenha direito de propriedade pelo ativo.
II. Um documento da política de segurança da informação deve ser aprovado pela direção, mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes.
III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação da informação deve ser instituída por uma política.
Marque a alternativa CORRETA:
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Alternativa correta: B - apenas as afirmativas I e III são verdadeiras.
A afirmativa I está correta porque, de fato, dentro do universo da segurança da informação, é imprescindível que cada ativo de informação tenha um "proprietário" atribuído. Este proprietário é responsável por definir os controles apropriados para a proteção do ativo e não necessariamente tem direitos de propriedade sobre o mesmo. Essa prática é um pilar fundamental para a governança da informação e é amplamente recomendada por frameworks de segurança da informação, como o ISO/IEC 27001.
A afirmativa II está incorreta e é o ponto que devemos prestar atenção. Uma política de segurança da informação eficaz precisa ser conhecida, compreendida e seguida por todos na organização. A direção deve aprovar a política, sim, mas ela não deve ser mantida em sigilo dos funcionários; pelo contrário, deve ser amplamente divulgada e acessível para que as diretrizes de segurança sejam efetivamente implementadas e seguidas. A comunicação transparente com partes externas relevantes também é frequentemente necessária, especialmente quando existem requisitos regulatórios ou contratuais a serem cumpridos.
Por fim, a afirmativa III está correta, pois aborda a necessidade de classificar as informações com base em diferentes critérios, como valor para a organização, requisitos legais, sensibilidade e criticidade. Esse processo é fundamental para determinar os níveis de proteção apropriados para cada tipo de informação e deve, sem dúvida, ser formalizado por meio de uma política de classificação da informação. A classificação ajuda a garantir que as informações mais importantes recebam os mais altos níveis de proteção e que os recursos sejam alocados de maneira eficiente.
Portanto, a aplicação correta das práticas de segurança da informação é vital para proteção dos ativos da organização e para garantir a continuidade dos negócios. A compreensão desses conceitos é essencial para resolver questões relacionadas a políticas de segurança da informação em concursos públicos.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Não tem condições da alternativa II estar certa, tendo em vista que afirma que a política de segurança da informação deve ser mantida em sigilo em relação aos funcionários.
Por exclusão a única alternativa possível é a B
No item 5.1.1 da norma está escrito o seguinte:
"(...) Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes (...)"
A única alternativa correta é a B.
Concordo, o gabarito deve está errado. Opção B.
Política de segurança deve ser comunicada a todos os envolvidos. Senão não será aplicada.
CORRETO.
Isso está no item 7.1.2 da norma ISO 17799.
O controle:
"Convém que as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte da organização".
A diretriz:
para esse proprietário serão dadas as responsabilidades de assegurar que as informações e os ativos associados aos recursos de processamento da informação estejam adequadamente classificados.
Definir periodicamente e analisar criticamente as classificações e restrições de acesso, levando em conta as políticas de controle de acesso.
O proprietário pode ser designado para:
a) Um processo de negócio
b) Um conjunto de atividades definidas
c) Uma aplicação
d) Um conjunto de dados definidos
As tarefas podem ser delegadas porém as responsabilidades permanecem com o proprietario.
No final a norma diz que o termno "proprietário" não significa que a pessoa tenha realmente direitos de propriedade sobre o ativo de TI.
II. Um documento da política de segurança da informação deve ser aprovado pela direção, mas deve ser mantido em sigilo em relação aos funcionários e partes externas relevantes.
CONTROVERSO.
Conforme ML mencionou, a norma ressalta:
No item 5.1 da norma 17799 temos que O DOCUMENTO da política de segurança da informação seja aprovado pela direção, publicado e COMUNICADO A TODOS OS FUNCIONARIOS e PARTES EXTERNAS RELEVANTES.
III. A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. A classificação da informação deve ser instituída por uma política.
CORRETO.
A norma retrata no item 7.2.1 Recomendações para a classificação
"Convém que a informação seja classificada em termos de seu valor, requisitos legais, sensibilidade e criticidade para a organização"
Ainda relacionado ao proprietario do ativo, a norma afirma que que é do proprietário desse ativo a responsabilidade de classificar este ativo.
O nível de proteção pode ser classificado analisando a confidencialidade, integridade e disponibilidade de uma informação.
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos