SóProvas

ID
1643344
Banca
CESPE / CEBRASPE
Órgão
TCU
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente.

Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria, a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades
nos sistemas antes que elas sejam exploradas.

Alternativas
Comentários

  • 9.3 Análise crítica pela direção
    A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização a intervalos planejados para assegurar a sua contínua adequação, pertinência e eficácia.
    A análise crítica pela Direção deve incluir considerações com relação a:
    a) situação das ações de análises críticas anteriores, realizadas pela direção;
    b) mudanças nas questões internas e externas, que sejam relevantes para o sistema de gestão da segurança da informação;
    c) realimentação sobre o desempenho da segurança da informação, incluindo tendências nas:
    1) não conformidades e ações corretivas;
    2) monitoramento e resultados da medição;
    3) resultados de auditorias; e
    4) cumprimento dos objetivos de segurança da informação.
    d) realimentação das partes interessadas;
    e) resultados da avaliação dos riscos e situação do plano de tratamento dos riscos; e
    f) oportunidades para melhoria contínua.
    Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para melhoria contínua e quaisquer necessidades para mudanças do sistema de gestão da segurança da informação.
    A organização deve reter informação documentada como evidência dos resultados das análises críticas
    pela direção.

  • Gabarito CERTO


    A.12.7 Considerações quanto à auditoria de sistemas de informação
    Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
    A.12.7.1 Controles de auditoria de
    sistemas de informação
    Controle
    As atividades e requisitos de auditoria
    envolvendo a verificação nos sistemas
    operacionais devem ser cuidadosamente
    planejados e acordados para minimizar
    interrupção nos processos do negócio.


    A.12.6 Gestão de vulnerabilidades técnicas
    Objetivo: Prevenir a exploração de vulnerabilidades técnicas.
    A.12.6.1 Gestão de
    vulnerabilidades técnicas
    Controle
    Informações sobre vulnerabilidades técnicas
    dos sistemas de informação em uso, devem ser
    obtidas em tempo hábil, com a exposição da
    organização a estas vulnerabilidades avaliadas
    e tomadas as medidas apropriadas para lidar
    com os riscos associados.



    Fonte: ABNT NBR ISO/IEC FDIS 27001 SET 2013, páginas 23 e 24.