SóProvas


ID
162964
Banca
CESGRANRIO
Órgão
Petrobras
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza, periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere que as entradas para a análise crítica pela direção incluam diversas informações, entre elas,

Alternativas
Comentários
  • Convém que as entradas para a análise crítica pela direção incluam informações sobre:

    a) Realimentação das partes interessadas.
    b) Resultados de análises criticas intependentes;
    c) Situação de ações preventivas e corretivas;
    d) Resultado de análises críticas anteriores feitas pela direção;
    e) Desempenho do processo e conformidade com a politica de segurança da informação;
    f) Mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação;
    g) Tendências relacionadas com as ameaças e vulnerabilidades;
    h) Relatos sobre incidentes de segurança da informação;
    i)  Recomendações fornecidades por autoridades relevantes;

    Logo, a resposta certa é a letra A
  • Vamos aproveitar o ensejo para ver também as saídas da análise crítica pela direção:

    Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:
    a)  melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;
    b)  melhoria dos controles e dos objetivos de controles;
    c)  melhoria na alocação de recursos e/ou de responsabilidades. 

    Bons estudos.
  • Seção 5.1.2 da Norma.
  • A ISO/IEC 27002 é um padrão de segurança da informação publicado pelo Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), intitulada Tecnologia da Informação – Técnicas de Segurança – Código e Prática para controles de segurança da informação.

    O item 5 da norma trata sobre a “Política de segurança da informação” e no subitem 5.1.2 trata sobre “Análise crítica da política de segurança da informação”, que diz que é conveniente que a segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

    Como diretrizes para implementação da “Análise crítica da política de segurança da informação” a Norma diz que a política de segurança da informação deve possuir um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação. A análise crítica deve incluir a avaliação de oportunidades para melhoria da política de segurança da informação da organização e ter um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias no negócio, às condições legais ou ao ambiente técnico.

    É conveniente que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. É conveniente também que sejam definidos procedimentos para análise crítica pela direção, incluindo uma programação ou um período para análise crítica.

    As entradas para a análise crítica pela direção devem incluir informações sobre:

    a)      Realimentação das partes interessadas;

    b)      Resultados de análises críticas independentes;

    c)       Situação de ações preventivas e corretivas;

    d)      Resultados de análises críticas anteriores feitas pela direção;

    e)      Desempenho do processo de conformidade com a política de segurança da informação;

    f)       Mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação, incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, nas disponibilidades dos recursos, nas questões contratuais, regulamentadores e de aspectos legais ou no ambiente técnico;

    g)      Tendências relacionadas com as ameaças e vulnerabilidades;

    h)      Relato sobre incidentes de segurança da informação;

    i)        Recomendações fornecidas por autoridades relevantes;

    As saídas da análise crítica pela direção devem incluir quaisquer declarações e ações relacionadas a:

    a)      Melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;

    b)      Melhoria dos controles e dos objetivos dos controles;

    c)       Melhoria na alocação de recursos e/ou de responsabilidades.

    É importante que um registro da análise crítica feita pela direção seja mantido.

  • 5.1.2 - Análise Critica da Política:

    A- item g OK

    B- A declaração de comprometimento da direção deve se dar com a criação da política.

    C- como diz o item f, apenas mudanças na estrutura devem servir de entrada, caso existam

    D- ações relacionadas à melhoria dos controles - acho que tem a ver com o item c - situação das ações corretivas e preventivas!

    E- Saída