-
CERTO.
Segundo a ISO 27001,"8.3 Ação preventiva
A organização deve identificar mudanças nos riscos e identificar requisitos de ações preventivas focando a atenção nos riscos significativamente alterados."
-
recomenda-se ??? Ou deva-se aplicar (27001)??
-
Eu marquei certo, mas acho que na hora da prova eu titubearia pois a 27001 trabalha com imposição, não com recomendação como diz o enunciado da questão.
-
Gabarito CERTO
8.3 Ação preventiva
A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos
do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos
dos potenciais problemas. O procedimento documentado para ação preventiva deve definir requisitos para:
a) identificar não-conformidades potenciais e suas causas;
b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
c) determinar e implementar as ações preventivas necessárias;
d) registrar os resultados de ações executadas (ver 4.3.3); e
e) analisar criticamente as ações preventivas executadas.
A organização deve identificar mudanças nos riscos e identificar requisitos de ações preventivas focando a
atenção nos riscos significativamente alterados.
A prioridade de ações preventivas deve ser determinada com base nos resultados da análise/avaliação de riscos.
Fonte: ABNT NBR ISO/IEC 27001:2006, página 13.