SóProvas


ID
131314
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Atualmente, a informação é um importante ativo para praticamente todo o tipo de organização. A segurança desse ativo faz-se
necessária, seja por questão de conformidade com leis e contratos, seja para assegurar a continuidade do negócio. Acerca da segurança
da informação, bem como das normas e políticas a ela aplicáveis, julgue os itens a seguir.

A identificação de não-conformidades potenciais e suas causas é caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC 27001.

Alternativas
Comentários
  • Item Correto

    O que consta na norma

    Ação preventiva
    A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos
    do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos
    dos potenciais problemas. O procedimento documentado para ação preventiva deve definir requisitos para:

    a) identificar não-conformidades potenciais e suas causas;
    b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;
    c) determinar e implementar as ações preventivas necessárias;
    d) registrar os resultados de ações executadas; e
    e) analisar criticamente as ações preventivas executadas.

    A organização deve identificar mudanças nos riscos e identificar requisitos de ações preventivas focando a
    atenção nos riscos significativamente alterados.
    A prioridade de ações preventivas deve ser determinada com base nos resultados da análise/avaliação de riscos.

    Ações para prevenir não-conformidades freqüentemente têm melhor custo-benefício que as ações corretivas.

  • Atentem para o detalhe do POTENCIAIS que torna a ação como sendo preventiva... Se não fosse "potenciais" seria uma ação corretiva. Vide item 8.2 da 27001.
  • 8.3 Ação Preventiva

    A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência.

    Essas ações preventivas evitam a OCORRÊNCIA de não-conformidades POTENCIAIS, enquanto as ações corretivas evitam a sua REPETIÇÃO.