A norma ISO/IEC 27001:2022 introduziu atualizações signific...
Próximas questões
Com base no mesmo assunto
Ano: 2026
Banca:
AMAUC
Órgão:
Prefeitura de Itá - SC
Prova:
AMAUC - 2026 - Prefeitura de Itá - SC - Analista de Sistemas |
Q3835615
Segurança da Informação
A norma ISO/IEC 27001:2022 introduziu atualizações
significativas na estrutura de controles de segurança.
Acerca dos novos controles introduzidos e da
abordagem de gestão de riscos baseada na referida
norma, registre V, para as afirmativas verdadeiras, e F,
para as falsas:
(__)O controle de "Inteligência de Ameaças" (Threat Intelligence) foi incluído para exigir que as organizações coletem e analisem informações sobre ameaças para fornecer conscientização sobre o ambiente de segurança e facilitar ações preventivas.
(__)A norma ISO/IEC 27001 exige obrigatoriamente a implementação de todos os controles listados no Anexo A, independentemente do resultado da avaliação de riscos, para que a organização obtenha a certificação de conformidade.
(__)A "Segurança em Nuvem" (Cloud Services) passou a ser um controle específico, tratando da aquisição, uso, gerenciamento e saída de serviços de nuvem em conformidade com as políticas de segurança da informação da organização.
(__)O conceito de "Mascaramento de Dados" (Data Masking) é tratado como um controle técnico para limitar a exposição de dados sensíveis, em alinhamento com legislações de proteção de dados, como a Lei Geral de Proteção de Dados Pessoais (LGPD).
(__)O Sistema de Gestão de Segurança da Informação (SGSI) foca exclusivamente em ativos tecnológicos e hardware, excluindo processos de recursos humanos e gestão de infraestrutura física da sua estrutura de análise de risco.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
(__)O controle de "Inteligência de Ameaças" (Threat Intelligence) foi incluído para exigir que as organizações coletem e analisem informações sobre ameaças para fornecer conscientização sobre o ambiente de segurança e facilitar ações preventivas.
(__)A norma ISO/IEC 27001 exige obrigatoriamente a implementação de todos os controles listados no Anexo A, independentemente do resultado da avaliação de riscos, para que a organização obtenha a certificação de conformidade.
(__)A "Segurança em Nuvem" (Cloud Services) passou a ser um controle específico, tratando da aquisição, uso, gerenciamento e saída de serviços de nuvem em conformidade com as políticas de segurança da informação da organização.
(__)O conceito de "Mascaramento de Dados" (Data Masking) é tratado como um controle técnico para limitar a exposição de dados sensíveis, em alinhamento com legislações de proteção de dados, como a Lei Geral de Proteção de Dados Pessoais (LGPD).
(__)O Sistema de Gestão de Segurança da Informação (SGSI) foca exclusivamente em ativos tecnológicos e hardware, excluindo processos de recursos humanos e gestão de infraestrutura física da sua estrutura de análise de risco.
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Gabarito: C
Fundamento decisivo: A questão se resolvia pela identificação dos controles introduzidos na ISO/IEC 27001:2022 e pela lógica de aplicabilidade do Anexo A: Threat intelligence, cloud services e data masking existem na edição 2022; os controles não são todos obrigatórios; e o SGSI não se limita a TI. Isso leva à sequência V, F, V, V, F e à alternativa C.
Tema central: ISO/IEC 27001:2022
Análise das alternativas
A
Errada
Está errada porque trata o item 1 como falso, mas Threat intelligence é um dos controles introduzidos na estrutura 2022 do Anexo A. Esse erro já inviabiliza a sequência.
B
Errada
Está errada porque marca o item 2 como verdadeiro, quando a ISO/IEC 27001 não exige a implementação de todos os controles do Anexo A. A seleção decorre de risco, aplicabilidade e justificativa, não de adoção integral obrigatória.
C
Certa
A alternativa C é a correta porque corresponde à sequência V, F, V, V, F. O item 1 é verdadeiro porque Threat intelligence consta como controle da edição 2022 do Anexo A. O item 2 é falso porque os controles do Anexo A não são implementados obrigatoriamente em bloco; sua adoção depende da avaliação de riscos, da aplicabilidade e da justificativa no Statement of Applicability. O item 3 é verdadeiro porque há controle específico para segurança da informação no uso de serviços em nuvem, abrangendo aquisição, uso, gerenciamento e saída. O item 4 é verdadeiro porque data masking aparece como controle tecnológico para reduzir a exposição de dados sensíveis. O item 5 é falso porque o SGSI não se limita a hardware e ativos tecnológicos: ele abrange pessoas, processos e ativos físicos, além da tecnologia.
D
Errada
Está errada em dois pontos decisivos: marca o item 3 como falso, embora exista controle específico para cloud services, e marca o item 5 como verdadeiro, embora o SGSI tenha escopo amplo e não se restrinja a hardware ou TI.
E
Errada
Está errada porque considera verdadeiros os itens 2 e 5. Ambos são falsos: os controles do Anexo A não são todos obrigatórios por definição, e o SGSI não exclui recursos humanos, processos organizacionais nem infraestrutura física.
Pegadinha da questão
A confusão real era dupla: achar que todo controle listado no Anexo A é obrigatoriamente implementado e reduzir o SGSI a tecnologia, ignorando pessoas, processos e ativos físicos.
Dica para questões semelhantes
- Em questões sobre ISO/IEC 27001, diferencie existência de controle no Anexo A de obrigatoriedade universal de implementação.
- Quando aparecer SGSI, adote como regra a abrangência organizacional: pessoas, processos, ativos físicos e tecnologia.
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Conheça nossos planos