SóProvas

ID
1700119
Banca
FCC
Órgão
TRT - 4ª REGIÃO (RS)
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:

Alternativas
Comentários
  • A) Correta

    B) Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado. (Creio que possa ter  a inclusão de controles adicionais.)

    C) Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles. (A norma pode permitir a exclusão de controles, caso a situação necessite disto)

    D) Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI. (O risco residual não necessita de tanta formalidade, como a aprovação da alta gerência)

    E) Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público. (Dependendo da situação isto pode não ser possível. Há situações em que o documento não deve ser público por questão de segurança)


    Pessoal, eu não estou com o texto da Norma 27001, mas tentei expor os trechos errados em cada alternativa. Caso equívocos sejam encontrados, favor corrigi-los.

    Bons estudos!


  • ISO 27001:2013

    6.1.3 Tratamento de riscos de segurança da informação.

    A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

    a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco;


    b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;

    NOTA: As organizações podem projetar os controles,conforme requerido, ou identificá-los de qualquer outra fonte.


    c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que nenhum controle necessário tenha sido omitido;

    NOTA 1 O Anexo A contém uma lista detalhada dos controles e dos objetivos de controle. Os usuários desta Norma são instruídos a utilizar o Anexo A para garantir que nenhum controle necessário foi omitido;

    NOTA 2 Os objetivos de controle estão implicitamente incluídos nos controles escolhidos. Os objetivos de controle e os controles listados no Anexo A não são exaustivos e controles e objetivos de controles adicionais podem ser necessários;


    d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;


    e) preparar um plano para tratamento dos riscos de segurança da informação;


    f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação, e a aceitação dos riscos residuais de segurança da informação;


    A organização deve manter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação;

    NOTA O processo de tratamento e a avaliação dos riscos de segurança da informação desta norma está alinhada com os princípios e diretrizes gerais definidas na ABNT NBR ISO 31000 – Gestão de riscos – Princípios e diretrizes.

  • 6 Planejamento

    6.1 Ações para contemplar riscos e oportunidades

    6.1.3 Tratamento de riscos de segurança da informação.

    A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

    a) selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco;

    b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação;

    c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que

    nenhum controle necessário tenha sido omitido;

    d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;

    e) preparar um plano para tratamento dos riscos de segurança da informação;

    f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança

    da informação, e a aceitação dos riscos residuais de segurança da informação;