SóProvas

ID
1682110
Banca
CESPE / CEBRASPE
Órgão
MPOG
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativo à segurança da informação, com base no que dispõem as normas ISO/IEC 27002 e ISO/IEC 27001.

A norma ISO 27002 estabelece que seja designado um proprietário para todas as informações e os ativos associados com os recursos de processamento da informação.


Alternativas
Comentários

  • retirado da norma , não cita informações .:

    " ...

    Convém que as áreas pelas quais as pessoas sejam responsáveis, estejam claramente definidas; em 

    particular recomenda-se que os seguintes itens sejam cumpridos: 

    a) Convém que os ativos e os processos de segurança da informação sejam identificados e 

    claramente definidos; 

    b) O gestor responsável por cada ativo ou processo de segurança da informação tenha atribuições 

    definidas e os detalhes dessa responsabilidade sejam documentados


  • Não tem como o garito dessa questão estar errado. A questão é a letra da norma.

    Por favor, se eu estiver equivocado me expliquem.

  • Um proprietário para "cada ativo" e não um proprietário para "todos".

  • A norma preconiza: o ativo deve ser inventariado e associados aos proprietários. Não cita nada de informação, todavia no 2 objetivo de controle da gestão de ativos, preconiza que a informação deve receber nível adequado de proteção. Portanto, a banco misturou os objetivos de controle da gestão de ativos. 

  • Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles. 

    Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecerá com os gestores individuais. Uma política comum é a nomeação de um proprietário para cada ativo que, então, se torna responsável por sua proteção no dia-a-dia.

  • 7.1.2 Proprietário dos ativos
    Controle
    Convém que todas as informações e ativos associados com os recursos de processamento da informação
    tenham um proprietário designado por uma parte definida da organização.

    COMO É QUE O GABARITO PODE SER ERRADO?

  • Francyanne Moreno ele generalizou... Disse que a norma estabelece que seja designado um proprietário para todas as informações e ativos da organização. Deveria ter incluído esse trecho: "designado por uma parte definida da organização."

  • Questão ambígua, dá para interpretar tanto como um proprietário só como um proprietário para cada. O pronome indefinido todos pode significar qualquer um, ou então o conjunto.

  • A.8.1. Responsabilidade pelos ativos
    Objetivo: Identificar os ativos da organização e definir as devidas responsabilidades pela
    proteção dos ativos.
    A.8.1.1 Inventário dos ativos: Os ativos associados com informação e com os recursos e processamento da informação
    devem ser identificados e um inventário destes ativos deve ser estruturado e mantido.
    A.8.1.2 Proprietário dos ativos: Os ativos mantidos no inventário devem ter um proprietário.

    Fonte: ISO NBR 27001:2013, pág. 16
     

  • Questão com dupla interpretação, tanto pode ser certo como errada. Esse tipo que questão é na sorte. 

  • O problema é ... se cair uma questão igual a essa. O ISO 27002 diz que deve haver proprietarios p ativos. Quem vai ter coragem d marcar

    falso? São questões como essa que me fazer desconfiar as vezes da transparencia dos concursos

  • Avaliei a questão como errada ao ler que a norma 27002 "estabelece" algo. Entendo que há uma obrigação que não faz parte do escopo da referida norma, ou seja, ela não estabelece, mas sugere.
  • Ao meu ver o erro foi porque generalizou! Gestão de ativos: ... Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos. Ativos de rede p/ quem é de rede Ativo banco de dados : ad/DBA E não um proprietário para tudo.

  • UM INVENTÁRIO DEVE SER MANTIDO E ESTRUTURADO

    OS ATIVOS DEVEM SER IDENTIFICADOS E INVENTARIADOS

    CADA ATIVO INVENTARIADO DEVE TER UM PROPRIETÁRIO

    REGRAS DE USO PARA ESSES ATIVOS DEVEM SER ESTABELECIDAS

  • Essa questão teve o gabarito alterado:

    "64 C E Deferido c/ alteração A norma ISO 27002 não estabelece que seja designado um proprietário para todas as informações e os ativos associados com os recursos de processamento da informação"

     

    http://www.cespe.unb.br/concursos/MP_15_ENAP/arquivos/MP_ENAP_JUSTIFICATIVAS_DE_ALTERA____O_DE_GABARITO.PDF

    Então acho que o Rodrigo Borges está certo!

  • Pessoal, gostaria de destacar que a informação é um ativo para a ISO/IEC 27000, a qual trata dos termos e definições e é referenciada pelas normas da família 27k, inclusive a 27002.

    "3.2.2 Information

    Information is an asset that, like other important business assets, is essential to an organization’s

    business and consequently needs to be suitably protected." (pg 13).

    Desta forma, acho que o erro da questão está errada em em estabelecer que haja um proprietário para todos os ativos. O mais correto seria para cada ativo, como já citado pelos colegas.

  • Não, não, ativo é só a informação que é RELEVANTE para a empresa. Isso está na norma, só não lembro onde.

    Se você marcar verdadeiro nessa questão, você está dizendo que a organização terá que atribuir um responsável a cada informação que a organização receber, o que não é verdade.