Questões da Prova CESPE - 2010 - MPU - Analista de Informática - Banco de Dados

A referida norma tem uma seção específica de gerenciamento de continuidade, que trata da criação e validação de um plano logístico acerca de como uma organização pode realizar ações no sentido de recuperar e restaurar, parcial ou completamente, os serviços interrompidos. Esse plano logístico, também denominado business continuity plan (BCP), não se aplica ao gestor público, pois este não pertence a uma organização de negócios.

A referida norma contém seções iniciais e doze seções principais acerca de diversos temas de segurança, como, por exemplo, a gestão de ativos.

Para se implantar um sistema de gestão de segurança da informação adequado ao ambiente organizacional, é suficiente atender o previsto nas diversas seções da norma em apreço, a qual detalha também os padrões específicos, os quais são mandatórios e independem do ramo de atuação da organização.

A seção da norma em questão que trata de compliance prevê aspectos para assegurar a conformidade com políticas de segurança da informação, normas, leis e regulamentos.

Como a norma mencionada estabelece um guia das melhores práticas para a gestão de segurança da informação, cabe ao gestor de cada organização avaliar os riscos do ambiente organizacional, determinar os requisitos específicos e então selecionar os controles apropriados à situação organizacional em questão. Verifica-se, então, que a avaliação de risco é fundamental no processo de estabelecimento dos controles de gestão de segurança, sendo recomendado que esse procedimento seja voltado aos aspectos subjetivos do gestor.