SóProvas

ID
144781
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

A análise crítica e periódica da política de segurança da informação de uma organização, conforme preconizada pelas normas NBR ISO/IEC 27001 e NBR ISO/IEC 17799, deve ser uma ação de responsabilidade dos gestores de segurança dessa organização.

Alternativas
Comentários
  • errado!!! é como colocar o "cachorro"   para tomar conta do "churrasco".....

    A análise crítica do SGSI deve ser realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
    Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.

    1 - Escopo: Abrangência da Norma;
    2 - Referência Normativa: Normas e padrões relacionados à norma 27001;
    3 - Termos e Definições: Termos e definições relacionados à segurança da informação;
    4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;
    5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;
    6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;
    7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
    8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI .

  • Complementando o que já foi dito pelo Phoenix, não é definido pela NBR ISO/IEC 27001 uma periodicidade para nenhum dos requisitos definidos pela norma, porém que fique claro que o descumprimento de qualquer requisito invalida a certificação por meio da norma. Acho eu, que o termo periodicidade já invalidaria a afirmação, apenas dando um acréscimo ao que já foi dito pelo Phoenix.

  • O capítulo 7 da ISO 27001 trata exatamente desse assunto, e informa que a direção deve realizar essa análise crítica e periódica do SGSI (que inclui a política de segurança da informação), e não os gestores de segurança da informação.

    7 Análise crítica do SGSI pela direção

    7.1 Geral

    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por
    ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação
    de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da
    informação     e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente
    documentados e os registros devem ser mantidos (ver 4.3.3).


    Bons estudos...