SóProvas

ID
150916
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2008
Provas
Disciplina
Segurança da Informação
Assuntos

Nas afirmativas a seguir, sobre a norma ISO 27001, a sigla ISMS se refere a um Sistema de Gerenciamento de Segurança da Informação (Information Security Management System) no contexto de uma organização.

I - A norma ISO 27001 estabelece uma abordagem do tipo PDCA (Plan, Do, Check, Act) para a definição e manutenção do ISMS.

II - A norma ISO 27001 prescreve as práticas de implantação e as métricas utilizadas para avaliar o desempenho do ISMS.

III - Um dos controles listados na norma ISO 27001 preconiza que a organização deve manter contato com grupos especiais de interesse ou outros fóruns e associações profissionais especializados em segurança.

IV - O ISMS é definido formalmente na ISO 27001 como um conjunto de regras (rules) e boas práticas (best practices) nas áreas de segurança física, autenticação de usuários, autorização de acessos e manutenção de um ambiente controlado para o tratamento e gerenciamento de informação e ativos sensíveis.

Estão corretas APENAS as afirmativas

Alternativas
Comentários

  •  I - A norma ISO 27001 estabelece uma abordagem do tipo PDCA (Plan, Do, Check, Act) para a definição e manutenção do ISMS. CORRETA

    II - A norma ISO 27001 prescreve as práticas de implantação e as métricas utilizadas para avaliar o desempenho do ISMS. ESTA ALTERNATIVA ESTÁ SE REFERINDO A NORMA ISO 27002 E NÃO A ISO 27001

    III - Um dos controles listados na norma ISO 27001 preconiza que a organização deve manter contato com grupos especiais de interesse ou outros fóruns e associações profissionais especializados em segurança. CORRETA

    IV - O ISMS é definido formalmente na ISO 27001 como um conjunto de regras (rules) e boas práticas (best practices) nas áreas de segurança física, autenticação de usuários, autorização de acessos e manutenção de um ambiente controlado para o tratamento e gerenciamento de informação e ativos sensíveis. QUEM FAZ ISSO É A ISO 27002

  • Cabe a mim discordar, pois a fonte de onde foi tirado o trecho foi a 27.002 e a questão aborda claramente a 27.001. No anexo A da ISO/IEC 27.001, temos:
    A.6.1.7 Contato com grupos especiais Controle Contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais devem ser mantidos.
    Questão correta.
    Quanto ao item IV, do glossário: SGSI a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação - NOTA O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.
  • Mencionou código de práticas é ISO 27002

  • III - Correta. 

    Apesar de mencionar controles (preconizante na norma 27002), o anexo II da norma 27001 inclui a referência e listagem dos controles da norma 27002.

  • Vou citar trechos da norma 27001 q justifiquem cada uma das alternativas:

    "Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

    O SGSI é projetado para assegurar a seleção de controles de segurança. Conforme descrito na norma 27001, "(...) esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. A figura 1(http://postimg.org/image/rhlr4iyxp/) ilustra como um SGSI considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas. 

    O ISMS da questão é o SGSI(sistema de gestão da segurança da informação ) da norma, cuja definição:

    É parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

    Portanto, as alternativas corretas são a I e a III.