SóProvas

Controle
Uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas, deve ser desenvolvida e implementada ao longo de todo o seu ciclo de vida.

27001 tópico 10.1.1

ISO 27002:2013 - 10.1.1 Política para o uso de controles criptográficos:

"Controles criptográficos podem ser usados para alcançar diferentes objetivos de segurança, como por exemplo:
a) confidencialidade: usando a criptografia da informação para proteger informações sensíveis ou críticas, armazenadas ou transmitidas;
b) integridade/autenticidade: usando assinaturas digitais ou códigos de autenticação de mensagens (MAC) para verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas ou transmitidas;
c) não-repúdio: usando técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação.
d) autenticação: usando técnicas criptográficas para autenticar usuários e outros sistemas que requeiram acesso para transações com usuários de sistemas, entidades e recursos.!

Pensei que os controles eram escopo apenas da NBR ISO/IEC 27002 mas verifiquei que a ISO/IEC 27001 tras todos estes controles em seu apêndice A. Assim a assertiva está totalmente CORRETA!

Vejam: http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27001-2013.pdf

Esta informação consta na tabela anexa da ISO 27001 (que na prática é conteúdo da ISO 27002). É o Controle A.10.1.2, Gerenciamento de Chaves, que afirma que uma política sobre o uso, proteção e tempo de vida das chaves criptográficas deve ser desenvolvida e implementada ao longo de todo o seu ciclo de vida. Correto.

Pessoal, creio que o controle que a questão aborda é o 10.1.2 Gerenciamento de chaves e não o 10.1.1 Política para o uso de controles criptográficos.