No que concerne à Norma ISO/IEC 27002, é incorreto afirmar que:

Question

No que concerne à Norma ISO/IEC 27002, é incorreto afirmar que: Alternativa A: As políticas de segurança da informação devem ser revistas a intervalos planejados ou quando mudanças
significativas ocorrerem, para assegurar sua utilidade contínua, adequação e eficácia. Ou Alternativa B: Todos os empregados da organização e, onde relevante, fornecedores, devem receber conscientização, educação
e treinamento apropriado. Ou Alternativa C: Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema
de classificação da informação adotado pela organização. Ou Alternativa D: Uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas deve ser desenvolvida e implementada,
no entanto, sem a necessidade de considerar todo o seu ciclo de vida.

Qconcursos · Accepted Answer

Alternativa [D] Uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas deve ser desenvolvida e implementada,
no entanto, sem a necessidade de considerar todo o seu ciclo de vida. Alternativa correta: D

1. Tema central da questão:
A questão aborda conceitos da ISO/IEC 27002, norma internacional sobre práticas de gestão de segurança da informação. O foco está em identificar uma afirmação incorreta sobre políticas e controles recomendados pela norma, especialmente em temas como políticas de segurança, conscientização de pessoal, tratamento de ativos e gestão de chaves criptográficas.

2. Resumo teórico:
A ISO/IEC 27002 estabelece diretrizes e boas práticas para proteger informações em organizações. Entre os pontos principais, está a necessidade de revisar políticas de segurança periodicamente, educar usuários e terceiros, classificar e tratar ativos de acordo com seu valor e criticidade e gerenciar todo o ciclo de vida das chaves criptográficas (criação, uso, armazenamento, expiração e descarte), conforme item 10.1 da norma.

3. Justificativa da alternativa correta (D):
A alternativa D afirma que não há necessidade de considerar todo o ciclo de vida das chaves criptográficas. Isso é INCORRETO. Segundo a ISO/IEC 27002, é obrigatório gerenciar todo o ciclo de vida das chaves – desde a geração até o descarte seguro. Ignorar qualquer etapa expõe a organização a riscos como vazamento ou comprometimento de informações protegidas. Por isso, a alternativa D contraria explicitamente a norma.

4. Análise das alternativas incorretas:

A: Corretíssima. A revisão periódica das políticas é fundamental para garantir sua eficácia e aderência a mudanças internas e externas, conforme recomenda a ISO/IEC 27002.
  B: Correta. Treinar e conscientizar todos os colaboradores e, quando aplicável, fornecedores, é essencial para manter a segurança da informação e está alinhado com as melhores práticas da norma.
  C: Correta. O tratamento de ativos deve seguir a classificação da informação para que cada ativo receba o nível adequado de proteção, conforme estabelece a ISO/IEC 27002.

5. Estratégias de interpretação:
Ao ler questões desse tipo, atenção às palavras que invertem sentido, como "incorreto", e termos absolutos como “sem a necessidade de...”. As normas de segurança são rigorosas e raramente admitem exceções em processos críticos como o ciclo de vida de chaves criptográficas.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

🚀 Quer mais performance?

🚀 Quer mais performance?

No que concerne à Norma ISO/IEC 27002, é incorreto afirmar que:

Gabarito comentado

Clique para visualizar este gabarito

Questões de assuntos semelhantes

Provas relacionadas