-
Alternativa D!
"7.3 Saídas da análise crítica
As saídas da análise crítica pela direção devem incluir quaisquer decisões e ações relacionadas a:
a) Melhoria da eficácia do SGSI.
b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.
c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de:
1) requisitos de negócio;
2) requisitos de segurança da informação;
3) processos de negócio que afetem os requisitos de negócio existentes;
4) requisitos legais ou regulamentares;
5) obrigações contratuais; e
6) níveis de riscos e/ou critérios de aceitação de riscos.
d) Necessidade de recursos.
e) Melhoria de como a eficácia dos controles está sendo medida."
Realmente, não há previsão para modificações em "Recursos Humanos", mas acredito que seria uma fator a ser considerado. Porém, não está na lista da Norma ABNT NBR ISO/IEC 27001:2006, e a questão explicita essa norma.
Questão bem difícil!
-
A resposta é a (d) de acordo com a norma 27001, mas marquei letra (a). Não entendo como a saída de uma análise crítica pode INCLUIR MUDANÇAS de requisitos legais ou regulamentares - coisas com que se deve conformar.
Requisitos legais e regulamentares não são aqueles aos quais deve-se aderir? Se você opera uma empresa de transporte de valores ou indústria química não deve atender as exigências das leis e regulamentos? Alguém pode explicar a interpretação da norma ?
-
Também cai na pegadinha da letra A. O segredo está na frase "...para responder a eventos internos ou externos que possam impactar no SGSI". Uma mudança numa norma ou lei impactará diretamente no SGSI, que deve ser revisto e readequado às conformidades.
-
O segredo para responder esta questão está no seguinte trecho da pergunta " deve incluir quaisquer decisões e ações relacionadas à modificação de
procedimentos e controles que afetem a segurança da informação"
Basta olhar as alternativas e imaginar, se alguma dessas opções ocorrerem, faz sentido eu fazer uma modificação nos meus procedimentos de segurança da informação ? Vamos então as respostas:
a)requisitos legais ou regulamentares.
(faz sentido, suponhamos uma nova lei exigindo algo novo)
b)processos de negócio que afetem os requisitos de negócio existentes.(se for identificado algum procedimento realizado que compromete os requisitos do negócio negativamente, não faz sentido atualizar para se resguardar disso?)
c)requisitos de segurança da informação. (com certeza novos requisitos vão atualizar os procedimentos antigos)
d)recursos humanos. (isso muda alguma coisa nos nossos procedimentos de segurança ? Não, isso tá mais pro RH da empresa)
e)níveis de riscos e/ou critérios de aceitação de riscos. (Os riscos devem estar sendo monitorados constantementes, logo, se mudam os critérios de aceitação ou níveis de riscos, os procedimentos para lidar com eles também mudam)
É isso ai pessoal, não desistam dos seu sonhos, já estou estudando a 2 anos e só paro a hora que conseguir realizar o meu !
Força guerreiros !!
-
dá pra ir pela lógica nessa
-
Sérgio Raulino, mas continuo na dúvida, pois a norma se refere a "necessidade de recursos", ou seja, recursos humanos é um tipo de recurso...Dá pra cair fácil nessa questão!
-
A minha interpretação foi a mesma que a do Guilherme: entendi que a questão estava perguntando onde serão realizadas as mudanças dentro da empresa para responder a eventos internos ou externos que possam impactar no SGSI.
Como requisitos legais e regulamentares não podem ser alterados pela empresa - são requisitos externos que ela deve simplesmente seguir - achei que a resposta era a letra A. Questão confusa.
-
O comando da questão está confuso mesmo. Nas assertivas foram listados os EVENTOS que podem ocasionar uma das saídas de análise crítica, a saber MODIFICAÇÕES DE PROCEDIMENTOS E CONTROLES QUE AFETEM A SEGURANÇA.
Como bem explicado, recursos humanos não figura na lista desses EVENTOS.
Porém, decisões e ações relacionadas à NECESSIDADE DE RECURSOS, de acordo com a norma, também é uma dessas saídas. É claro que os recursos humanos podem sim influenciar decisões sobre o SGSI
-
A resposta está na página 12 da norma, item "7.3 Saídas da análise crítica", onde no item "c" estão relacionados aos itens que impactam em procedimentos e controles:
a) Melhoria da eficácia do SGSI.
b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.
c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para
responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de:
1) requisitos de negócio;
2) requisitos de segurança da informação;
3) processos de negócio que afetem os requisitos de negócio existentes;
4) requisitos legais ou regulamentares;
5) obrigações contratuais; e
6) níveis de riscos e/ou critérios de aceitação de riscos.
d) Necessidade de recursos.
e) Melhoria de como a eficácia dos controles está sendo medida.
Tá aí .... nada de RH
[]'s
-
Também fiquei confusa com a redação da questão. Marquei a letra A por entender que a questão perguntava "o que nós não conseguimos mudar" ao invés de "a que situações nós não precisamos nos adaptar".
-
Pela redação dá pra entender que a saída é comprar um deputado e mudar os requisitos legais.
-
Eu acho que a confusão está na palavra saída, deveria ser entrada. A impressão que dá pra alterar leis como saída dessa análise.