SóProvas

ID
1389670
Banca
CESPE / CEBRASPE
Órgão
SEGESP-AL
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o item a seguir, no que se refere ao sistema de gestão de segurança da informação (SGSI).

Para estabelecer o SGSI, é necessário definir a estratégia de avaliação dos riscos da organização.

Alternativas
Comentários

  • CERTO

    Senhores não encontrei nada em relação ao termo 'estratégia', mas encontrei as seguintes informações abaixo.


    Segundo a ISO 27001,"

    4.2.1 Estabelecer o SGSI

    A organização deve:

    c) Definir a abordagem de análise/avaliação de riscos da organização.

    e) Analisar e avaliar os riscos.

    "

  • Existe uma etapa do processo de implantação do SGSI - Conduzindo a Analise/avaliação de riscos e planejando o tratamento de riscos, logo, é necessário definir uma estratégia para avaliação dos riscos. 

    Asseriva Correta.

  • Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização. Os requisitos definidos nesta Norma são genéricos e são pretendidos para serem aplicáveis a todas as organizações independentemente do tipo, tamanho ou natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável quando a organização busca a conformidade com esta Norma. NBR ISO/IEC FDIS 27001/2013 -> 1 ESCOPO (pg 3)

    Se a exclusão de quaisquer requisitos da norma enseja na não conformidade com ela, logo a implementação de todos os requisitos da norma são obrigatórios, inclusive os requisitos de avaliação e tratamento de riscos.

    Essa obrigatoriedade, entretanto, não é aplicada aos requisitos de um SGSI, os quais são definidos pela Organização e patrocinados pela Alta Direção.