-
Correto. Na lista de todos os controles físicos e lógicos disponíveis na norma ISO, somente os que forem aplicáveis à organização deverão ser obrigatoriamente implementados.
-
1.2 Aplicação
Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A EXCLUSÃO de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.
4 Sistema de gestão de segurança da informação
5 Responsabilidades da direção
6 Auditorias internas do SGSI
7 Análise crítica do SGSI pela direção
8 Melhoria do SGSI
-
É necessário muito mais coisa, na verdade, é preciso que seja feito um plano de tratamento de riscos, que os documentos sejam geridos de forma correta, que seja feita análises críticas periódicas pela direção...faltou a questão especificar...em se tratando de controles...
-
Pra mim, essa questão tá errada. Conforme[1], "a EXCLUSÃO de quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável quando uma organização reivindica conformidade com esta Norma.
Logo, afirmar que se a organização pretende obter a certificação ISO/IEC 27.001, é necessário que o sistema de gestão da segurança da informação implemente apenas os controles aplicáveis a essa organização tá errado! pois ainda restam os controles das seções 5,6,7,8,9 e 10.
Questão flagrantemente errada.
Não teve gabarito alterado?
Fonte:
[1] ISO 27001:2013.
-
Correto. Na lista de todos os controles físicos e lógicos disponíveis na norma ISO, somente os que forem aplicáveis à organização deverão ser obrigatoriamente implementados.
-
CORRETO. Não confundir requisito com controle.
"Elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;"