SóProvas

ID
1208380
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27002:2005, julgue os itens a seguir, relativos à gestão de segurança da informação.

No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI, uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização.

Alternativas
Comentários

  • No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI, uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização. 

    Torna errada a questão, o ciclo PDCA deve-se ser realizada sempre! independentemente de mudança ou não nos requisitos de segurança ou quando forem identificadas ameaças....


    Fonte: ITIL V3

  • ERRADO.

    Senhores, esta questão pegou um trecho da norma iso 27001 e um trecho da norma ISO 27002.

    Vou dividir a questão para melhor compreensão.

    1)No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do SGSI [...]     (CORRETO)

    Segundo a ISO 27001,0.2 Abordagem de processo,"Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act" (PDCA), que é aplicado para estruturar todos os processos do SGSI."

    2)[...]uma análise de riscos deve ser realizada somente quando houver mudança nos requisitos de segurança ou quando forem identificadas ameaças que coloquem em risco a segurança da organização. (ERRADO)

    Segundo a ISO 27002,4.1 Analisando/avaliando os riscos de segurança da informação,"Convém que as análises/avaliações de riscos também sejam realizadas periodicamente, para contemplar as mudanças nos requisitos de segurança da informação e na situação de risco, ou seja, nos ativos, ameaças,vulnerabilidades, impactos, avaliação do risco e quando uma mudança significativa ocorrer."

    **Portanto não abrange somente as ameaças como pode ser visto acima, visto que o rol é muito maior, abrangendo também,inclusive, os ativos, as vulnerabilidades,etc.


  • O ciclo PDCA busca a melhoria contínua, o que significa que os processos periodicamente estão sendo executados. Dessa forma, pensar que a análise de riscos só deve ser realizada a partir de determinado contexto vai contra o conceito do ciclo PDCA.

  • A analise de risco permeia todo o processo.

  • Mata-se a questão apenas sabendo que, segundo a ISO 27002, a análise de riscos deve ser uma atividade SISTEMÁTICA e repetida PERIODICAMENTE, independente de que tenha havido, ou não, a ciência de novas ameaças ou vulnerabilidades.

  • Eu matei quando li "uma análise de riscos deve ser realizada somente".

    O termo "somente", assim como muitos outros, normalmente compõe afirmativas falsas, principalmente nessas questões de C ou E do Cespe.

    Quando o assunto é análise de risco, é difícil construir uma afirmação verdadeira tendo o "somente" na forma como foi colocado.

     

    Vamos na fé.

  • O problema da afirmação é esse: "ou quando forem identificadas ameaças que coloquem em risco a segurança da organização." Ora, a partir de uma análise/avaliação de risco, são identificadas ameaças, e todas em certo grau, colocam em risco a segurança da organização. É mais coerente colocar NOVAS AMEAÇAS, aí sim é motivo para realizar novas análise/avaliação de risco.