SóProvas

ID
187462
Banca
FCC
Órgão
AL-SP
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

Com respeito à norma ISO 27001:2005, é correto afirmar que

Alternativas
Comentários

  • ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação

    seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

    Este padrão é o primeiro da família de segurança da informação relacionado aos padrões ISO que espera-se sejam agrupados à série 27000. Outros foram incluídos antecipadamente:

    * ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação);
    * ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
    * ISO 27002 - Esta norma irá substituir em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas);
    * ISO 27003 - Esta norma abordará a gestão de risco, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. Deverá ser publicada em 2006;
    * ISO 27004 - Esta norma incidirá sobre os mecanismos de mediação e de relatório de um sistema de gestão de segurança da informação. A sua publicação deverá ocorrer em 2007;
    * ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information Security Management Systems - Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicação da norma ISO 27005 ocorreu em meados de 2008;
    * ISO 27006 - Esta norma será referente à recuperação e continuidade de negócio. Este documento tem o título provisório de “Guidelines for information and communications technology disaster recovery services”, não estando calendarizado a sua edição.

    ISO 27001 foi baseado e substituindo o BS 7799 parte 2, o qual não é mais válido.


    fonte: http://pt.wikipedia.org/wiki/ISO_27001

  • a) Recomendações(ou melhores práticas) são encontradas na NBR ISO/IEC 27002

    b) Concordo com os colegas que citaram que a norma é suficiente para que haja auditoria (Editado em 04/01/2018)

      RESPOSTA ANTIGA

        b) ficaria correta assim: "sua adoção por completo, por si só, não é suficiente para permitir a auditoria independente do sistema de
        gerenciamento de segurança da informação"

    c) Idem ao ítem a)

    d) exatamente isso, é independente do SGSI que irá ser implantado, porém requer adoção completa de todos os requisitos da NBR ISO/IEC 27001

    e) a gestão de recursos(financeiros, humanos...) é contemplada na NBR ISO/IEC 27001

  • Discordo do comentário do Manoel sobre a alternativa B.
    Preliminarmente, a ISO 27001 possui como requisito a condução de auditorias internas (seção 6). E estas deem assegurar a objetividade e a imparcialidade do processo de auditoria, salientando que um auditor não deve auditar o próprio trabalho.
    Posto isto, resta definir o que é uma auditoria independente. 
    "A auditoria independente é uma atividade que utilizando-se de procedimentos técnicos específicos tem a finalidade de atestar a adequação de um ato ou fato com o fim de imprimir-lhe características de confiabilidade."
    http://www.portaldecontabilidade.com.br/tematicas/auditoria.htm
    Dessa forma, não há que se confundir auditoria independente de auditoria externa, essa sim não contemplada pela norma.
    Com isso, conclui-se que o erro da questão é afirmar que a adoção da norma não é suficientente para que haja auditoria independente.

  • Sobre o erro do item B, concordo com o colega que o erro está em dizer que "não é suficiente para permitir a auditoria independente...". 

    O Item 4.2.3. (ISO/IEC 27.001:2005) diz:

    "e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

    NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos."

    Apesar da norma ter especificado claramente o termo "auditoria interna" esta não deixa de ser independente para garantir sua eficácia em relação a adequação dos métodos do objeto a ser auditado. A auditoria interna difere da auditoria externa por ter propósitos internos.

    Bons estudos!

  • Amigos, pq a A é D estão erradas?  27001 não traz recomendações? 

  • @Anne Calil: a 27002 é que traz recomendações, enquanto a 27001 trata de requisitos para EIOMAMM um SGSI.

  • a) Especifica uma série de recomendações que, em seu conjunto, não chegam a constituir um completo sistema de gerenciamento de segurança da informação.

    Tratam de requisitos, itens necessários para certificação e não em formato de sugestão ou recomendação.
    Além disso a ISO 27001 é um modelo holístico na qual abrange diversas áreas.

    b) Sua adoção, por si só, não é suficiente para permitir a auditoria independente do sistema de gerenciamento de segurança da informação.

    Errado! Há auditoria para tratamento de riscos.

    c) Descreve as técnicas de segurança da informação sob a forma de uma série de recomendações.
    Não! Trata de requisitos!

    d) Sua adoção permite a certificação independente do sistema de gerenciamento de segurança da informação.

    Sim! É um modelo completo, independente de marcas e fabricantes.