-
Questão correta segundo a banca, apesar de a norma ISO 27001 não citar expressamente classificação dos controles. Podemos analisar como estes exemplos citados estão expostos e assumir de agora em diante esse entendimento pelo CESPE.
A.5.1.1 Documento da política de segurança da informação - Controle: Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
A.9.1.1 Perímetro de segurança física- Controle: Devem ser utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e recursos de processamento da informação.
A.6.1.5 Acordos de confidencialidade-Controle: Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as necessidades da organização para a proteção da informação devem ser identificados e analisados criticamente, de forma regular.
Colegas qual o padrão utilizado pelo CESPE ?
-
As normas ISO não obrigam a nada, CESPE sendo CESPE rsrs
-
o padrão é 'reza pra adivinhar a linha de raciocínio'
-
Posso até entender que existem controles mais necessários que outros, mas a norma não referencia este tipo de classificação. Talvez a questão foi baseada em um autor que interprete esta norma. Já li toda a norma e nada encontrei
-
Alguém sabe de onde o Cespe retirou essa classificação?
-
Muito obrigado ao Cespe por uma questão ridícula e errada que tirou o meu amigo da redação... essa questão está ERRADA, todo mundo sabe disso mas a arrogância e arbitrariedade da banca são maiores do que tudo, lamentável, pessoas são prejudicadas por questões desse tipo e fica por isso mesmo
-
Não seriam controles que são obrigatórios para a organização ser certificada com ISO 27002.
-
Vejam de onde o CESPE pode ter tirado isso: http://advisera.com/27001academy/knowledgebase/list-of-mandatory-documents-required-by-iso-27001-2013-revision/
-
@Cleiton Saturno parece isso mesmo.
Aqui tem a mesma referência em Portugues (http://advisera.com/27001academy/pt-br/blog/2013/10/18/lista-de-documentos-obrigatorios-requeridos-pela-iso-27001-revisao-de-2013/)
A Cespe é tão ...$#dsfsd que nem para ler a consideração inicial, veja só: "Please note that documents from Annex A are mandatory only if there are risks which would require their implementation".
Há várias discussões da questão
1) http://www.dominandoti.com.br/blog/4250
2) http://www.itnerante.com.br/group/gsi/forum/topics/quest-o-ati-mpog-2015
Não há nenhuma referência a essa classificação nas normas.
É a típica questão CBOK (Cespe Body Of Knowledge). Pronto, desabafei !
-
Exatametne, galera! A ISO 27001 não cita expressamente classificação de controles. Também já li toda a norma e não tem nada disso.
Pessoal, vamos solicitar comentarios do professor. Quanto mais gente solicitar, maior a possibilidade de comentarem.
(Mesmo sabendo que, algumas vezes, comentários dos professores do QC são igual vassoura sem cabo: não servem pra nada).
Obs: Não são todos...há bons professores também.