-
Duas definições dadas para o SGSI na normal 27002
definição dada na introdução da normal (alvo: gerentes)
é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio
definição técnica dada no glossário da norma (antiga definição da introdução)
é a preservação da confidencialidade, da integridade e da disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas
Com relação à primeira definição, cabe dizer que o SGSI garante a competitividade da empresa.
-
Não vou emitir opinião sobre a redação da questão, que provavelmente baseou-se no seguinte trecho da Norma NBR ISO/IEC 27002 :
0.2 Por que a segurança da informação é necessária?
A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios.
Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.
-
Vale notar que não existe certificação para a norma 27002 conforme mencionado no enunciado da questão. A banca ratou feio nessa aí.
-
Acredito que a alternativa mais correta para essa questão seja a letra E ("Maturidade"). A essência das normas ISO 27001 e ISO 27002 consiste na implementação de um SGSI baseados nos príncipios do modelo PDCA (Plan, Do, Check, Act). Tal modelo é cíclico justamente pelo fato da busca incessante pela melhoria contínua da segurança da informação. Portanto Planejamos a SI através do estabelecimento de políticas, procedimentos e objetivos, Realizamos a implementação e operação da política, procedimentos e objetivos, checamos para averiguar se as atividades de segurança da informação estão sendo realizadas conforme o planejado e finalmente executamos ações corretivas ou preventivas com vistas à MELHORIA CONTÍNUA da SGSI na organização. Vejamos a definição de maturidade no dicionário:
MATURIDADE: Efeito ou circunstância de quem se encontra numa fase adulta; estado das pessoas ou das coisas que atingiram completo desenvolvimento: maturidade comportamental, mental etc. Momento do que se encontra no último estágio do desenvolvimento; evolução
Ora, maturidade é sinônimo de evolução e é justamente isso que ocorre nas atividades de segurança da informação distribuídas pelo modelo PDCA. Todas elas visam justamente alcançar um nível de excelência em Segurança da Informação continuamente.
-
Afirmar que um SGSI assegura (garante) a competitividade de uma empresa é viajar (muito...) e mostra que o avaliador nÃo tem a MINÍMA noção de gestão empresarial. A competitividade de uma empresa é MUITO mais ampla que qualquer sistema de segurança. Envolve mercado, concorrentes, oportunidades, liquidez da empresa, ramo de atividade etc...
Questão facilmente anulável (ou pelo menos deveria ser).
-
Nosso colega acima já respondeu a questão, mas a título de curiosidade segue uma informação a mais que notei alguns colegas com dúvida.
Segungo Aragon(2012, p.426),"A empresa é certificada na norma ISO/IEC 27001. [...] No âmbito pessoal, existe a certificação ISO/EEC 27002 FOUNDATION, que visa atestar a proficiência dos profissionais nos fundamentos da norma."
Bibliografia:
IMPLANTANDO A GOVERNANÇA DE TI-3 EDIÇÃO 2012-ARAGON
-
Não precisa ter AUSTERIDADE não, os controles podem ser todos froxos que funcionam tsc tsc tsc