Quando falamos sobre segurança da informação, as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2022 são fundamentais. Elas fornecem diretrizes e práticas para proteger informações críticas de uma organização. A questão trata da classificação dos controles de segurança, que são mecanismos implementados para proteger a informação.

Alternativa correta: C - certo

A alternativa correta é "C - certo" porque a afirmação está de acordo com a estrutura de classificação dos controles de segurança mencionada nas normas. Vamos entender melhor:

Os controles de segurança são categorizados em:

• Controle de pessoas: Envolve medidas relacionadas a treinamento, conscientização e seleção de pessoas que terão acesso à informação.
• Controle físico: Refere-se a barreiras físicas e medidas de segurança para proteger o ambiente físico, como trancas e câmeras de segurança.
• Controle tecnológico: Inclui firewalls, antivírus e sistemas de monitoramento que protegem os dados eletronicamente.
• Controles organizacionais: São aqueles que não se encaixam diretamente nas categorias acima e envolvem políticas, procedimentos e processos para gerir a segurança da informação.

Agora, explicando por que a alternativa "E - errado" não é a correta: A afirmação proposta na questão está em conformidade com as normas, o que significa que não há erro na classificação dos controles mencionados. Portanto, a opção "C - certo" está correta porque reflete uma compreensão precisa das categorias de controle mencionadas na ISO 27002.

Dica para interpretar questões: Sempre procure entender o contexto da pergunta e relacione-o aos princípios das normas ISO. Isso ajuda a identificar se a afirmação está de acordo ou não com as diretrizes estabelecidas.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Alternativa: Certo

De acordo com as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2022, os controles de segurança da informação são classificados em diversas categorias para garantir a proteção de ativos organizacionais, e esses controles podem ser:

1. Controle de Pessoas:

• Refere-se a práticas relacionadas ao comportamento humano, como treinamento, conscientização e políticas de uso aceitável.

1. Controle Físico:

• Diz respeito à proteção do acesso físico aos ativos, como controle de acesso a edifícios, fechaduras, câmeras de segurança e barreiras físicas.

1. Controle Tecnológico:

• Relaciona-se ao uso de ferramentas e tecnologias para proteger informações, como firewalls, criptografia, antivírus e sistemas de monitoramento.

1. Controle Organizacional (quando não se encaixa nas categorias anteriores):

• Inclui políticas, procedimentos, governança e outros controles administrativos ou gerenciais que visam assegurar a segurança da informação de forma abrangente.
• Exemplos: Auditorias, planos de continuidade de negócios, e estrutura de governança.

• A categorização apresentada está alinhada com as práticas descritas nas normas ISO 27001 e 27002.
• Quando um controle não se enquadra diretamente como físico, tecnológico ou relacionado a pessoas, ele pode ser tratado como um controle organizacional.

A afirmativa está Certa, pois reflete corretamente a categorização dos controles de segurança da informação conforme descrito nas normas mencionadas.

Existe algum lugar q fala isso? "Quando não enquadra em nenhuma outra?"

apesar de saber quais sao as categorização, achei esse trecho mt estranho