SóProvas

ID
131302
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A declaração de aplicabilidade é um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP.

Alternativas
Comentários
  • http://axurblog.blogspot.com/2007/08/sobre-declarao-de-aplicabilidade.htmlA Declaração de Aplicabilidade é uma listagem dos controles aplicados, e dos controles não aplicados. Ou seja, é uma listagem de TODOS os controles do Anexo A da ISO 27001, mais os controles adicionais.Devem ser colocadas justificativas pela APLICAÇÃO e pela NÃO APLICAÇÃO dos controles. Atenção: não confundir o termo APLICADO com APLICAVEL. Somente podem ser justificado o controle como NÃO APLICAVEL, se realmente não for possível aplicá-lo, como por exemplo "comércio eletrônico" para uma empresa que não realiza comércio eletrônico. A justificativa deste controle é, NÃO APLICAVEL.NÃO APLICADOS são aqueles controles pelos quais não se optou devido a inexistência de risco que o justificassem, por serem NÃO APLICAVEIS, ou pela sobreposição de controle. Isso é muito comum! A análise de GAP'S é um procedimento de comparação entre as competências exigidas por um Posto de Trabalho e as competências desenvolvidas por qualquer membro da Força de Trabalho. O produto desta comparação representa a lacuna de qualificações que o membro da Força de Trabalho precisa desenvolver para estar apto a exercer as atividades do Posto de Trabalho em questão. Isto significa, que se as iniciativas de aprendizagem quiserem ser efetivas, deverão priorizar o preenchimento de tal lacuna.

  • Todos os controles e objetivos de controle estão elencados na declaração de aplicabilidade, onde os que não serão usados obrigatoriamente precisam apresentar a justificativa de não uso.

    PS: Análise de GAP é um documento usado na gestão de qualidade para análise de insuficiências, não possui relação com a NBR ISO/IEC 27001.

  • 6.1.3 Tratamento de riscos de segurança da informação

     

    d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;

     

    ISOIEC 27001 - 2013