-
Questão tranquila, sem nenhuma conjunção ou advérbio suspeitos para duvidar do gabarito, dúvida essa que o Cespe consegue produzir como nenhuma outra banca.
Vamos na fé.
-
Certo.
"4.1 Requisitos gerais
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta."
-
"A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos. Um sistema de gestão da segurança da informação (SGSI), a exemplo do especificado na ABNT NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente." (grifo nosso)
Fonte: ABNT NBR ISO/IEC 27002:2013
-
0.2 Requisitos de segurança da informação
É essencial que uma organização identifique os seus requisitos de segurança da informação.
Existem três fontes principais de requisitos de segurança da informação.
a) Uma fonte é obtida a partir da avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos, e as vulnerabilidades destes e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
b) Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.
c) A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.
Fonte: ABNT NBR ISO/IEC 27002:2013
-
Certo.
Na verdade, os "Fatores críticos de sucesso" estão presentes apenas na norma antiga, versão 27002:2005.
A versão nova 27002:2013 não os contempla mais.
Ou seja, essa questão ainda faz referência à versão antiga.
Fatores críticos de sucesso
A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização:
a) política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;
b) uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional;
c) comprometimento e apoio visível de todos os níveis gerenciais;
d) um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco;
e) divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização;
f) distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas;
g) provisão de recursos financeiros para as atividades da gestão de segurança da informação;
h) provisão de conscientização, treinamento e educação adequados;
i) estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação;
j) implementação de um sistema de medição1, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria.
Fonte: 27002:2005
-
GABARITO: CERTO.