SóProvas

ID
1007044
Banca
FCC
Órgão
TRT - 18ª Região (GO)
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A Norma NBR ISO/IEC 27001:2006, na seção que trata do estabelecimento e gerenciamento do SGSI, orienta que a orga- nização deve definir uma política do SGSI nos termos das características do negócio, sua localização, ativos e tecnologia que observe as características listadas abaixo, EXCETO:

Alternativas
Comentários

  • A questão foi retirada daqui.

    Segundo a ISO 27001,"

    4.2.1 Estabelecer o SGSI

    A organização deve:

    b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:

    1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação;

    2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;

    3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer ;

    4) estabeleça critérios em relação aos quais os riscos serão avaliados (ver 4.2.1c)); e

    5) tenha sido aprovada pela direção."

    **Portanto, o erro da alternativa A, está em afirmar que é necessário a obtenção da autorização dos stakeholders, quando na verdade é necessário a aprovação pela direção.

  • Errei a questão por interpretar que a direção é uma das partes interessadas.

  • CESPE fazendo uso de sua jurisprudência de banca ... 

  • Errei ao entender que a avaliação de riscos seria responsabilidade da ISO 27005

  • Esta ao pé da letra não tem mi mi mi.. e momento nehum a norma afirmar que é necessário a obtenção da autorização dos stakeholders. 

    Alem do mais  stakeholders, são todos envolvidos no processo incluse terceiros.

  • É top down direto. A alta direção define e não 'ouve' ninguém.