SóProvas

ID
144790
Banca
CESPE / CEBRASPE
Órgão
INMETRO
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos conceitos de políticas, de normas e de modelos de
segurança em TI, julgue os seguintes itens.

A norma NBR ISO/IEC 27001 difere da NBR ISO/IEC 17799 quanto ao estabelecimento de requisitos para certificação, o qual ocorre na primeira, e quanto a um detalhamento de código de prática, o qual ocorre na segunda. Por outro lado, o emprego do ciclo PDCA (Plan-Do-Check-Act) para a melhoria contínua de um sistema de gestão de segurança é descrito em ambas.

Alternativas
Comentários

  • Organizacoes que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estao simultaneamente de acordo com os requisitos da ISO 27001, mas  uma certificacao é totalmente opcional. 

  • Na minha opinião, o erro está em dizer que o ciclo PDCA é descrito nas duas. Esse ciclo só é descrito na 27001.

  •  A ISO/IEC 17799 = ISO/IEC 27002 não detalha a prática, ou seja, não define "como" fazer, mas define "o que" fazer.

  • A 27002 não faz referência ao ciclo PDCA, esse é o erro fa questão.
  • Ok, a 27002 não faz referência explicita ao PDCA, porém ela implementa a 27001. A definição EIOMAMM que é o PDCA na 27001 é detalhada na 27002. Então as duas empregam o PDCA, uma diretamente e outra indiretamente.

  • ora bolas, os controles são EIOMAMM !!

  • Realmente, o erro da questão está em afirmar que o ciclo PDCA está descrito tanto na 27.001 como na 27.002. Na verdade, o mesmo está descrito somente na 27.001, conforme já colocado pelos colegas.

    Adicionalmente, para não erramos mais em outras questões sobre o tema:

    ISO/IEC 27.001 => É baseada no ciclo PDCA

    ISO/IEC 27.002 => NÃO É baseada no ciclo PDCA

    ISO/IEC 27.005 => É baseada no ciclo PDCA

    A 27.005 diz claramente: "O processo descrito pela norma é harmonicamente sincronizado com o ciclo de melhoria contínua PDCA utilizado em um SGSI conforme a ISO/IEC 27.001"

    Bons estudos!