Alternativa correta: E – I e II, apenas.

Tema central: Esta questão aborda os requisitos da NBR ISO/IEC 27001:2022 sobre auditoria interna em Sistemas de Gestão de Segurança da Informação (SGSI). Entender como devem ser planejadas e executadas as auditorias é fundamental para garantir a conformidade e a melhoria contínua do SGSI, tema comum em concursos dessa área.

Resumo teórico: Segundo a ISO/IEC 27001:2022 (item 9.2), as organizações precisam realizar auditorias internas regulares para verificar se o SGSI está conforme os requisitos da norma e da própria organização. O programa de auditoria deve definir frequência, métodos, responsabilidades e critérios. Além disso, a norma destaca a importância de considerar a criticidade dos processos auditados e os resultados de auditorias anteriores ao planejar auditorias. Não há exigência de que os auditores sejam externos; a imparcialidade pode ser garantida por outros meios, como independência de função.

Análise da alternativa correta (E):

• I. Correta: A norma exige que o programa de auditoria interna defina frequência, métodos, responsabilidades e critérios.
• II. Correta: É obrigatório considerar a criticidade dos processos e os resultados de auditorias anteriores ao elaborar o programa.

Análise das alternativas incorretas:

• III. Incorreta: A ISO/IEC 27001 não obriga que auditorias internas sejam feitas apenas por auditores externos. O importante é garantir a imparcialidade; auditores internos podem realizar a tarefa, desde que não auditem seu próprio trabalho.
• A, B, C e D – Todas estão erradas pois incluem a afirmação III ou deixam de considerar corretamente a I e/ou II.

Dica de interpretação: Em questões desse tipo, busque palavras exageradas ou absolutas como “apenas”, pois frequentemente indicam alternativas incorretas. Compare sempre as exigências normativas reais com as afirmações apresentadas.

Gostou do comentário? Deixe sua avaliação aqui embaixo!