SóProvas

ID
1208392
Banca
CESPE / CEBRASPE
Órgão
TJ-SE
Ano
2014
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC n.º 27005, julgue os próximos itens, no que se refere à gestão de riscos da segurança da informação.

A referida norma fornece as diretrizes para o processo de gestão de riscos da segurança da informação bem como uma metodologia específica para todos os tipos de organização que pretendam gerir os riscos passíveis de comprometer a segurança da informação da organização.

Alternativas
Comentários

  • ERRADO.

    Segundo a ISO 27005:2008,"Introdução

    Esta Norma Internacional fornece diretrizes para o processo de Gestão de Riscos de Segurança da Informação de uma organização, atendendo particularmente aos requisitos de um SGSI de acordo com a ABNT NBR ISO/IEC 27001. Entretanto, esta Norma Internacional não inclui uma metodologia específica para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI."

    _________________________________

    Ainda ERRADO conforme ISO 27005:2011.

    Segundo a ISO 27005:2011,"Entretanto, esta Norma Internacional não inclui um método específico para a gestão de riscos de segurança da informação. Cabe à organização definir sua abordagem ao processo de gestão de riscos, levando em conta, por exemplo, o escopo do seu SGSI, o contexto da gestão de riscos e o seu setor de atividade econômica. Há várias metodologias que podem ser utilizadas de acordo com a estrutura descrita nesta Norma Internacional para implementar os requisitos de um SGSI."

  • Nenhuma norma é metodologia, manual, regra, passa a passo etc. Norma fala O QUE deve ser feito e não COMO DEVE ser feito.

    Por exemplo, uma norma determina que você precisa de um processo para contratação de fornecedores. Como vai ser esse processo você que determina, desde que atenda o requisito da norma.

  • Além do excelente comentário feito pelo colega Stallings podemos levar em consideração a forma estranha na qual o texto foi descrito, repare: "metodologia específica para todos os tipos de organização". 

    Estranho neh, é uma metodologia específica que serve para qualquer organização, ora, se serve para todos os tipos de organização deixa de ser específica para cada uma, concordam?

    vlw

  • Metodologias não, somente melhores práticas!

  • Ótimos comentários!
    Eu cai no pega da questão.