SóProvas

ID
208885
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2010
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere às normas ISO 27001, ISO 27002, ISO 27005 e
ISO 15999 e aos assuntos correlatos, julgue os itens de 56 a 76.

Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica e que esteja de acordo com um processo de submissão definido.

Alternativas
Comentários

  • O patrocinador não é responsável pela política de segurança da informação, existe um setor responsável por essa política. O patrocinador geralmente a direção da empresa é responsável apenas pela aprovação dessa política.

  • Patrocinador: representa a direção da organização. No contexto de análise crítica, o patrocinador possui as seguintes atribuições:
               1)Definir procedimentos para análise crítica
               2)Definir período em que será realizado a análise crítica pelo gestor
               3)Nomear o gestor responsável(proprietário) pela política de SI
               4)Realizar análise crítica independente e fornecê-la como entrada ao gestor da política de SI
               5)Aprovação da Politica de SI revisada/modificada

    Gestor: pessoa, setor ou grupo com responsabilidade de gestão, análise crítica, avaliação e melhoria da política de SI.

    Fiz esse resumo da página 9 (5.1.2 - Análise crítica da SI) da NBR-ISO 27002.
  • Convém que a política de segurança da informação tenha uma direção responsável por sua manutenção e análise crítica.
  • Acho que o erro está no seguinte:

    Convém que a política de segurança da informação tenha um patrocinador responsável por sua manutenção e análise crítica

    No item 5.1.2 só fala que a direção faz a análise crítica e mantém um registro da análise crítica, não mantém a política de segurança da informação.
  • Segundo a Norma ISO/IEC 27002:2005:


    5.1.2 Análise crítica da política de segurança da informação 


    Convém que a política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação da política de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente técnico.


    Ou seja, o papel definido é o de gestor, não patrocinador.

  • Não é o patrocinador (direção) quem faz isso mas sim o gestor responsável pela política de SI.

    Não se fala nada sobre "processo de submissão" nessa parte da norma.