SóProvas

ID
144685
Banca
CESPE / CEBRASPE
Órgão
SECONT-ES
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Um órgão público responsável pelo controle externo do
Poder Executivo de uma unidade da Federação desenvolveu um
conjunto de processos de auditoria de conformidade na gestão da
segurança da informação. As organizações para as quais o órgão
presta serviço implementaram sistemas de gestão da segurança da
informação, por força de normas, em aderência aos modelos
desenvolvidos pela ABNT e ISO/IEC, especialmente os
prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez
que várias organizações a serem auditadas já passaram cerca de
dois anos implementando seus sistemas de gestão, um
questionário de avaliação preliminar foi aplicado pelo órgão de
controle externo nas organizações clientes. Diferentes controles
do sistema de segurança da informação foram avaliados pelos
respondentes, tanto os de natureza física e lógica quanto os
organizacionais. A partir do recebimento dos resultados do
questionário preliminar, os auditores efetuaram uma visita à
organização e produziram diversos julgamentos acerca da
possível adequação dos controles implementados aos modelos
das normas mencionadas.

Tendo como referência as informações contidas na situação
hipotética apresentada acima, julgue os itens a seguir, a respeito
do julgamento realizado pelos auditores.

Para que o plano de continuidade de negócios apresentado por uma das organizações avaliadas seja considerado conforme a Norma NBR ISO/IEC 15.999, ele deve ter referências implícitas ou explícitas a um dos seguintes documentos: plano de gerenciamento de incidentes; plano de recuperação de negócios; declaração de política de gestão de continuidade dos negócios (GCN); e relatório de análise de impactos sobre negócios BIA (business impact analysis).

Alternativas
Comentários
  • Alguém poderia comentar essa questão ?
  • Acredito que a questão esteja mal classificada, uma vez que se pergunta sobre a norma 15999 - continuidade de negócio.
  • Segundo a norma NBR ISO/IEC 15.999, o planos de continuidade de negócio e plano de gestão de incidentes devem coletivamente conter linhas de
    comunicação identificadas, atividades chave, papéis e responsabilidades para pessoas e times, método de acionamento, detalhes de comunicação com pessoal e partes interessadas, dentre outras coisas.
    Portanto, o plano de continuidade de negócios faz referência ao plano de gestão de incidentes.

  • O texto faz referência a ISO/IEC 15.999:

    "Com relação à documentação de GCN, é importante desenvolver diretrizes de recuperação de procedimentos identificados como críticos, para que as unidades de negócio possam operar entre o período de desastre e até a recuperação de processos críticos e eventualmente o retorno a normalidade. A identificação dos processos críticos é realizada através do questionário denominado Análise de Impacto nos Negócios (AIN ou BIA) e os procedimentos são elaborados através da documentação de:

    • Planos de Recuperação de Desastres (PRD); 

    • Plano de Continuidade Operacional (PCO); ou 

    • Planos de Gerenciamento de Incidentes."

    Questão correta, portanto.

    Espero ter ajudado!

  • CERTO.

    Segundo a ISO 15999-1,"5.5 Documentação de GCN

    Convém que os indivíduos  responsáveis por manter a continuidade de negócios devam criar e manter a documentação de continuidade de negócios. Isso pode incluir os seguintes documentos:

    a) política de GCN;

    [...]

    b)análise de impacto nos negócios (BIA);

    c)avaliação de riscos e ameaças;

    d)estratégias de GCN;

    e)programa de conscientização;

    f)programa de treinamento;

    g)planos de gerenciamento de incidentes;

    h)planos de continuidade de negócios;

    i)planos de recuperação de negócios;

    j)agenda de testes e relatórios;

    k)contratos e acordos de níveis de serviço."

  • Se a norma fala claramente a documentação, o que seriam "referências implícitas"?