-
16.1.5 Resposta aos incidentes de segurança da informação
Controle
Convém que incidentes de segurança da informação sejam reportados de acordo com procedimentos documentados.
Diretrizes para implementação
Convém que incidentes de segurança da informação sejam reportados para um ponto de contato definido e outras pessoas relevantes da organização, ou ainda, partes externas (ver 16.1.1).
Convém que a notificação inclua os seguintes itens:
a) coleta de evidências, tão rápido quanto possível, logo após a ocorrência;
FONTE: ISO/IEC 27002:2013
-
Essa questão considerando a versão 27002:2013 estaria errada, pois essa nova versão da norma cita que a coleta tem como propósito ações legais ou disciplinares.
16.1.7 Coleta de evidências
Controle
Convém que a organização defina e aplique procedimentos para a identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.
Diretrizes para implementação
Convém que procedimentos internos sejam desenvolvidos e seguidos quando tratando de obter evidências para os propósitos de ações legais ou disciplinares.
Fonte: ABNT NBR ISO/IEC 27002:2013
-
Não concordo com o gabarito, é recomendado que a coleta de evidencias ocorra sempre, envolvendo ação legal ou não
Além de que a coleta de evidências deve ocorrer ANTES de envolver uma ação legal, pois como nosso amigo LUIS comentou, deve ocorrer logo após o incidente, não faz sentido ir coletar as evidencias quando uma ação legal já esta ocorrendo, estas evidências já deveriam estar elencadas.
-
Gente, mas ele não tá falando que é SÓ quando ocorre ação legal...e nem tá falando que SÓ serve pra ação legal, e não disciplinar...