SóProvas

ID
1849024
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à política de segurança da informação e à gestão de continuidade do negócio, julgue o item a seguir.

As normas relativas ao controle de acesso aos sistemas corporativos das instituições são definidas dentro da política de segurança da informação.

Alternativas
Comentários

  • Políticas de segurança da informação podem ser emitidas em um único documento, "política de segurança da informação" ou como um conjunto de documentos individuais, relacionados.


    A políticas de a) controle de acesso (ver 9); por ser um exemplo de políticas com tópicos específicos,


    Pode ou não ser definidas dentro da política de segurança da informação (PSI).


    Fonte: ISO 27002 e Interpretação Pessoal

  • 5 Políticas de segurança da informação
    5.1 Orientação da direção para segurança da informação
    Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
    5.1.1 Políticas para segurança da informação
    Controle
    Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
    Diretrizes para implementação
    Convém que no mais alto nível a organização defina uma política de segurança da informação    , que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.

    ...


    No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos.
    São exemplos de políticas com tópicos específicos:
    a) controle de acesso (ver 9);
    b) classificação e tratamento da informação (ver 8.2);
    c) segurança física e do ambiente (ver 11);
    d) tópicos orientados aos usuários finais:
    1) uso aceitável dos ativos (ver 8.1.3);
    2) mesa Limpa e Tela Limpa (ver11.2.9);
    3) transferência de informações (ver 13.2.1);
    4) dispositivos móveis e trabalho remoto (ver 6.2);
    5) restrições sobre o uso e instalação de software (ver 12.6.2);
    e) backup (ver 12.3);
    f) transferência da informação (ver 13.2);
    g) proteção contra códigos maliciosos (ver 12.2);
    h) gerenciamento de vulnerabilidades técnicas (ver 12.6.1);
    i) Controles criptográficos (ver 10);
    j) segurança nas comunicações (ver 13);
    k) proteção e privacidade da informação de identificação pessoal (ver 18.1.4);
    l) relacionamento na cadeia de suprimento (ver 15).

    Fonte: ISO 27002:2013, pág. 9

  • Mas, as políticas subjacentes não são agrupadas na política de segurança da informação?!