SóProvas

ID
1897648
Banca
FGV
Órgão
IBGE
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à política de segurança da informação, analise as afirmativas a seguir:

I. Uma política de segurança precisa avaliar as ameaças e os riscos, classificando-os de acordo com a criticidade da operação e do ativo que poderá ser afetado.

II. A violação da política de segurança da informação deve ser apurada informalmente, para não expor vulnerabilidades desnecessariamente, salvo nos casos mais graves.

III. Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio, demonstrando apoio e comprometimento com a segurança da informação.

Está correto somente o que se afirma em:

Alternativas
Comentários

  • I. Uma política de segurança precisa avaliar as ameaças e os riscos, classificando-os de acordo com a criticidade da operação e do ativo que poderá ser afetado

     

    Qual o erro desta afirmação?

  • Para mim a I está correta, qual será o erro?!

  • Qual o erro da I?

  • Não entendi o erro da alternativa 1

  • I - Não se avalia riscos na fase de Política de Segurança, essa fase é anterior. Após a fase de análise de riscos e escolha de controles é feita a 
    Política de Segurança. 

  • Analisando o item I creio que a questão esteja abordando situações muito operacionais (baixo nível) para a política.

    Segue trecho da 27002:

    5 Política de segurança da informação
    5.1 Política de segurança da informação
    Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os
    requisitos do negócio e com as leis e regulamentações relevantes.
    Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio
    e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de
    segurança da informação para toda a organização.
    5.1.1 Documento da política de segurança da informação
    Controle
    Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e
    comunicado para todos os funcionários e partes externas relevantes.
    Diretrizes para implementação
    Convém que o documento da política de segurança da informação declare o comprometimento da direção e
    estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o documento
    da política contenha declarações relativas a:
    a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança
    da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução);
    b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da
    informação, alinhada com os objetivos e estratégias do negócio;
    c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de
    análise/avaliação e gerenciamento de risco;
    d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da
    informação específicos para a organização, incluindo:
    1) conformidade com a legislação e com requisitos regulamentares e contratuais;
    2) requisitos de conscientização, treinamento e educação em segurança da informação;
    3) gestão da continuidade do negócio;
    4) conseqüências das violações na política de segurança da informação;
    e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo
    o registro dos incidentes de segurança da informação;
    f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de
    segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os
    usuários devem seguir.

     

    []'s

    Robgol

  • Um erro do I na minha opinião é que a classificação de risco é feita com base na probabilidade do risco ocorrer e no impacto gerado.

    Lembrem PROBABILIDADE e IMPACTO