SóProvas

ID
1826947
Banca
FGV
Órgão
TJ-PI
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação a normativas de segurança da informação, analise as afirmativas abaixo:

I. A norma que trata de boas práticas de segurança da informação é a ISO/IEC 27002.

II. Para conhecer as diretrizes de um SGSI, deve-se utilizar a norma ISO/IEC 27001.

III. A recente norma ISO/IEC 27006 é uma evolução da norma ISO/IEC 27002, absorvendo os conceitos usados na norma ISO/IEC 27001.

Está correto somente o que se afirma em:

Alternativas
Comentários

  • Não sei se a assertiva III está correta, porque ainda não conheço a 27006. Mas 27001 e 27002 eu conheço. São relacionadas ao SGSI.

     

    27001 - especificação / requisitos

    27002 - guia prático / boas práticas / diretrizes

     

    Ou seja, assertiva I correta e II errada.

     

    Não sei como o gabarito é D.

  • Gabarito D

    Questão relativamente fácil amigo Sávio.

    ISO 27001 - especificação / requisitos para um SGSI

    ISO 27002 -  guia prático / boas práticas / diretrizes

    Sobre a ISO 27006:

    Você deve ter ciência de que todo organismo certificador acreditado para a realização de auditar Sistemas de Gestão ISO/IEC 27001 devem aderir aos requisitos da ISO/IEC 27006 “Tecnologia da Informação – Técnicas de Segurança – Requisitos para organismos fornecedores de auditoria e certificação de sistemas de gestão da segurança da informação” para demonstrarem sua competência para prover esta certificação.

    A ISO/IEC 27006 foi revisada em 2015, o que significa que algumas mudanças se fazem necessárias sobre como as auditorias ISO/IEC 27001 são entregues. Estas mudanças focam em fornecer mais consistência com outros processos de certificação, aumentando a familiaridade com os processos de auditoria, maior integração entre sistemas, e possibilitando um treinamento mais eficiente aos auditores.

    Vamos na fé !

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • E aí, Ibsen.

     

    Ainda não consegui entender, meu amigo.

     

    A não ser que a questão esteja considerando diretrizes como sinônimo de requisitos, o que - na minha opinião - não seria correto, ainda enxergo a II como errada, pois está relacionando diretrizes com a 27001, sendo que esta trata dos requisitos, deixando as diretrizes para a 27002.

     

    Só se eu estiver fazendo alguma confusão conceitual que não tenha percebido.

  • Entendi seu ponto de vista amigo Sávio !

    E aí já está implementando os mapas mentais que eu te falei ?

     

    Vamos na fé !

  • Familia 2700

    ISO/IEC 2700 – Sistema de Gerenciamento de Segurança – Explicação da série de normas, objetivos e vocabulários.

    ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação.

    ISO/IEC 27002– Código de Melhores Práticas para a Gestão de Segurança da Informação.

    ISO/IEC 27003 – Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação

    ISO/IEC 27004 – Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação.

    ISO/IEC 27005 – Gestão de Riscos de Segurança da Informação.

    ISO/IEC 27006 – Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação.

    ISO/IEC 27007 – Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação.

    ISO/IEC 27008 – Auditoria nos controles de um SGSI.

  • discordo do gabarito, diretrizes -> 27002

  • Na minha opinião a II estaria errada, pois as Diretrizes estão na 27003. A  27001 trata de Requisitos.

     

    ABNT NBR ISO IEC 27003:2011- Tecnologia da Informação-Técnicas de Segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação

    ABNT NBR ISO IEC 27001:2013- Tecnologia da Informação-Técnicas de Segurança – Sistemas de gestão da segurança da informação - Requisitos