-
Amigos tive dificuldade nesta questão, contudo se o gabaito realmente estiver correto tendo como valor ERRADO; acredito(NÃO É CERTEZA!) que o erro esteja no seguinte trecho: [...]em locais de fácil acesso.
Segundo a ISO 15999-1,"8.3.1 Introdução
Convém que todos os planos ,sejam eles de gerenciamento de incidentes,continuidade de negócios ou recuperação de negócios,sejam concisos e acessíveis àqueles que possuam responsabilidades definidas nesses planos."
----------||----------
**Portanto, levando em consideração ao trecho acima da norma 15999-1 e ao que foi exposto na questão do cespe, não faz sentido afirmar que a cópia do plano deve ser reproduzidas para armazenamento em locais de fácil acesso, visto que esses locais podem ser acessados por pessoas desautorizadas, e a norma 15999-1 diz que os planos devem ser acessíveis por pessoas com responsabilidades definidas. E se os planos devem ser tratados com cuidados, as suas cópias também.
Galera, lembrando que não sou nenhum guru da infomática, e que esta questão me deixou confuso. Portanto, se meu raciocínio estiver incorreto, sinalizem para que os colegas não sejam prejudicados!
-
Pois é Tanembaum, quando ele diz "fácil acesso" ferra com a questão.
-
Acredito que o erro da questão esteja na frase "elaborado antes da ocorrência de desastres". As organizações que não possuem política de segurança da informação já tenham sofrido desastres, talvez sejam tais desastres que tenham as motivado a buscarem uma política.
-
O colega HTTP Concurseiro citou o item 8.3.1 da norma. Além disso, o enunciado da questão diz "deve ser reproduzido em cópias para armazenamento em locais de fácil acesso".
A norma não diz que "DEVE", mas sim que "CONVÉM". Ademais, a norma recomenda apenas que seja acessível, e não que se faça cópias do documento. E para finalizar, o que acontece se vc fizer várias cópias do documento, digitais ou físicas? Vc terá um retrabalho na primeira atualização que existir; ou seja, acho que o mais recomendável é que esteja armazenado em um lugar único, acessível aos que se interessarem.
Esse é o meu entendimento do item 8.3.1, e que a banca distorceu.
-
Apesar da norma ISO 27002 não tratar especificamente da gestão de continuidade de negócios, ela tem uma seção sobre o tema.
Seção 14.1.3
"Convém que o plano de continuidade do negócio trata as vulnerabilidade da organização, que pode conter informações sensíveis e que necessitem de proteção adequada.
Convém que cópias do plano de continuidade do negócio sejam guardadas em um ambiente remoto, a uma distância suficiente para escapar de qualquer dano de um desastre no local principal.
Convém que o gestor garante que as cópias dos planos de continuidade de negócio estejam atualizadas e protegidas no mesmo nível de segurança como aplicado no ambiente principal."
-
Questão zica, pra te matar de dúvida na hora da prova... Concordo com o HTTP Concurceiro e com o Luiz BH.
Galera, essa velha discussão do DEVE/CONVÉM nessas normas ISO... Meu entendimento atual é que DEVE é OK pra ISO 27002:2005, tem várias questões que falam DEVE e a questão está CERTA, enquanto menos questões implicam por causa disso. Qual a regra de vocês?
-
Eu também concordo com a fonte do Luiz BH
-
Errada.
Como o nosso colega @HTTP Concurseiro disse:
Segundo a ISO 15999-1,"8.3.1 Introdução
"Convém que todos os planos, sejam eles de gerenciamento de incidentes,continuidade de negócios ou recuperação de negócios,sejam concisos e acessíveis àqueles que possuam responsabilidades definidas nesses planos." Ou seja, os planos não devem, necessariamente, possuir fácil acesso, afinal não devem estar disponíveis a TODOS.
Ademais, essa questão de "deve" ou "convém" para questões do CESPE relacionadas às normas, não faz qualquer diferença. Isso não define se a questão está certa ou errada.