Alternativa correta: A - I e II, apenas.

1. Tema central da questão

O foco da questão é o gerenciamento da segurança da informação em contratos com fornecedores de serviços em nuvem, conforme as normas NBR ISO/IEC 27001:2022 e 27002:2022. Essas normas são referência internacional para boas práticas em segurança da informação, essenciais em ambientes críticos como instituições financeiras.

2. Resumo teórico

A ISO/IEC 27002:2022 traz controles detalhados para contratação e gestão de fornecedores, especialmente no uso de nuvem (A.5.23). Já a ISO/IEC 27001:2022 exige formalização de requisitos de segurança nos contratos (A.5.22). A avaliação pode envolver certificações independentes (como ISO 27001 ou SOC 2), mas a exigência de cláusulas detalhadas e técnicas específicas (criptografia, métodos de autenticação) deve ser adequada ao contexto e não é imposta literalmente pela norma.

3. Justificativa da alternativa correta

I. CORRETO: O controle A.5.23 da ISO/IEC 27002:2022 orienta a mitigar riscos de fornecedores, incluindo avaliação prévia de controles.
II. CORRETO: Aceitar certificações como ISO 27001 ou SOC 2 como evidência objetiva de conformidade é prática prevista e recomendada.
III. INCORRETO: A norma pede cláusulas de segurança nos contratos, mas não exige de forma explícita a inclusão obrigatória de especificações técnicas detalhadas como criptografia em repouso ou métodos específicos de autenticação/autorizarão para todos os contratos. Essas exigências dependem da análise de risco e do contexto.

4. Análise das alternativas

A (correta): I e II estão de acordo com as diretrizes da norma.
B: Só I, mas II também é correta.
C: Inclui III, que está errada.
D: Inclui III, que está errada.
E: Apenas III (incorreta).

5. Estratégias para interpretação

Preste atenção em palavras como "exige formalmente" ou listas muito detalhadas nas questões. Elas podem indicar excesso de especificação em relação ao real texto da norma, que costuma ser mais genérico e adaptável ao contexto do risco.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

A resposta correta é:

A) I e II, apenas. ✅

Vamos analisar cada afirmativa à luz da NBR ISO/IEC 27001:2022 e 27002:2022.

I. Controle A.5.23 (Segurança da informação para uso de serviços em nuvem)

• Correto.
• Esse controle da NBR ISO/IEC 27002:2022 traz orientações para tratar riscos específicos do uso de serviços em nuvem, incluindo avaliação prévia dos controles de segurança e requisitos contratuais.
• Ele aborda aspectos como localização dos dados, acordos de nível de serviço (SLAs), monitoramento e auditorias.

II. Certificações independentes como evidência

• Correto.
• Avaliar certificações e relatórios de auditoria independentes (ISO 27001, SOC 2, PCI DSS, etc.) é uma prática recomendada para verificar a conformidade de fornecedores com requisitos de segurança.
• Isso aparece como diretriz em controles relacionados a gestão de fornecedores.

III. Controle A.5.22 (Gestão de segurança da informação nas relações com fornecedores)

• Parcialmente correto, mas não exige de forma tão específica “uso de criptografia em dados em repouso” nem detalha métodos de autenticação/autorização no texto do controle.
• O A.5.22 exige que a organização trate requisitos de segurança da informação nos acordos com fornecedores, mas as medidas técnicas específicas (criptografia, autenticação, etc.) são tratadas em outros controles e devem ser aplicadas conforme avaliação de risco — não são obrigação genérica para todos os contratos.

Eu não sabia em específico o que diz a cláusula 5.23, mas como consegui eliminar a alternativa III?

A ISO 27001 não "cospe regra" do que fazer para implementar (não dá diretrizes). Ela apenas diz o que a empresa precisa fazer (requisitos). Ex.: precisa de uma gestão de se SI para orienta a mitigar riscos de fornecedores, incluindo avaliação prévia de controles? Sim, mas como chegar a este nível? Não é competência da 27001 dizer. Para isso existem as complementares. Elimino as letras: C, D e E. Aumentando minha chance de acerto de 20% para 50%. 

Qual é a diferença entre requisitos e diretrizes? Pense no requisito como algo obrigatório. Uma boa pergunta: quais são os pré-requisitos? E diretriz é um plano (vem de direcionar), ou seja, eu posso ou não seguir aquele plano (diretriz).

Entendam a diferença de diretriz (ISO 27002) e requisito (ISO 27001) que ajuda a matar umas boas questões sobre este tema.