SóProvas

ID
1460806
Banca
FGV
Órgão
DPE-MT
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma NBR ISO/IEC 27001:2005, analise as afirmativas a seguir.
I. Para que uma empresa receba a certificação da norma ISO/IEC 27001, é requisito que todos os controles relacionados na norma como necessários sejam implantados.
II. A norma adota o ciclo PDCA (plan-do-check-act) para todos os processos envolvidos em um SGSI.
III. A norma orienta que o SGSI não deve tratar as informações públicas da organização, por não serem confidenciais.
Assinale:

Alternativas
Comentários

  • Acedito que o grande ponto de dúvida na questão seja em relação à assertiva I. Ela está errada, pois a 27001:2006 diz:

    "Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis"

    Ou seja, há controles que podem ser excluídos e ainda assim estar aderente a norma 27.001, porém estes controles não podem afetar a capacidade da organização quanto a Segurança da Informação (requisitos de segurança e legais).

    Espero ter ajudado!

  • Pois é, lembrei exatamente desse trecho da norma para marcar a opção certa com confiança.

    Vamos na fé.

  • Gabarito B

    A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Sobre a I eu tenho no meu resumo que "somente os controles que forem aplicáveis à organização devem ser implementados". Trecho retirado do comentário em outra questão. 

  • GABARITO: B

    I. Para que uma empresa receba a certificação da norma ISO/IEC 27001, é requisito que todos os controles relacionados na norma como necessários sejam implantados. ERRADO

    • Apenas os itens de 4 a 10 da norma são obrigatórios para fins de conformidade;

    II. A norma adota o ciclo PDCA (plan-do-check-act) para todos os processos envolvidos em um SGSI. CORRETO

    III. A norma orienta que o SGSI não deve tratar as informações públicas da organização, por não serem confidenciais. ERRADO

    • A norma não restringe o tratamento a apenas informações confidenciais.