-
CERTO
Segundo a ISO 27002,5.1.1 Documento da política de segurança da informação,"Convém que esta política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco."
-
A todos os usuários? E quem não tem permissões? A questão generaliza muito.
-
Para ficarmos ligados, houve uma mudança relevante, ao meu ver, na ISO 27.001:2013. Ela não diz mais que a comunicação sobre a Política de SI deve ser feita para toda a organização e para os usuários de forma relevante, acessível, etc..., como na ISO 27.001:2006. Ela diz em seu item 5.1.1:
"5.1.1 Políticas para segurança da informação
Controle
Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. "
Se viesse a mesma questão, com base na versão 2013 colocaria como errada. usuários DIFERENTE de funcionários e partes interessadas.
Espero ter ajudado mais que atrapalhado.
-
Ajudando no comentário do Silas:
As permissões são usadas para restringir o acesso aos recursos da organização. Quem não tem permissão para acessar o recurso A ou B deve, ainda assim, ter acesso à política de segurança da organização. Até para que fique claro o que ele deve/não deve e pode/não pode fazer.
-
A questão diz "Deve" e a norma diz "convém"...
CESPE, te odeio.
-
Isso me confunde, as vezes a questão de 27002 está errada pq a iso está impondo algo e tem questão que ela está certa pq deve. Sendo que na norma nos dois casos está escrito convém. Cespe assim fica difícil
-
muito generalizada, como o colega falou "os funcionários e partes externas relevantes." Acredito que esteja errada segundo a ISO 27002:2013
-
A questão não tem nada de errado, se você ler a ISO 27002:2013, pelo menos todo o item 5.1.1, e não apenas o controle deste item. Vejam o que diz a ISO 27002:2013.
5.1.1 Políticas para segurança da informação
Controle: Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
Ainda no item 5.1.1, no final da página 3, ele diz:
Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação.
Logo, questão correta.