-
7.2 Durante a contratação
7.2.1 Responsabilidades da direção
Convém que as responsabilidades da direção assegurem que os funcionários e partes externas:
a) estão adequadamente instruídos sobre as suas responsabilidades e papéis pela segurança da informação, antes de obter acesso às informações sensíveis ou aos sistemas de informação;
b) recebam diretrizes que definam quais as expectativas sobre a segurança da informação de suas atividades dentro da organização;
c) estão motivados para cumprir com as políticas de segurança da informação da organização;
d) atinjam um nível de conscientização sobre segurança da informação que seja relevante para os seus papéis e responsabilidades dentro da organização;
e) cumpram com os termos e condições de trabalho, que incluam a política de segurança da informação da organização e métodos apropriados de trabalho;
f) tenham as habilidades e qualificações apropriadas e sejam treinados em bases regulares;
g) tenham disponíveis um canal de notificação, de forma anônima, para reportar violações nas políticas e procedimentos de segurança da informação.
FONTE: NBR ISO/IEC 27002:2013
-
Um macete que me ajuda entender o que a norma "quer dizer" quando se refere a "durante a contratação" é ler durante o período de vigência do contrato.
-
É, mesmo, acredito que essa "tradução" clareie um pouco as ideias.
-
essa norma, pra quem não a conhece profundamente, é difícil responder por eliminação...
na minha humilde visão, qualquer uma das respostas caberia.
-
Galera, sinto informar mas nao basta mais saber que 27001 eh norma de certificação e 27002 mostra as diretrizes
tem que decorar a porra toda
secoes, objetivos de controles e controle
secao 5, 6, 7, 8, 11, 13 sao bem cobradas
a 12 eh gigante. Tbm
-
"Durante a contratação", achei que era na hora de fazer entrevistas, antes de contratar de fato, e não no período de vigência do contratado.
-
Letra B
Complementando
"Convém que o treinamento e a educação em segurança da informação seja realizado periodicamente. Treinamento e educação iniciais se aplicam aqueles que são transferidos para novas posições ou atribuições com requisitos de segurança da informação completamente diferentes, e não apenas para os novos iniciantes e deve ser realizado antes das pessoas assumirem os seus papéis.
Convém que a organização desenvolva o programa de treinamento e educação com o objetivo de conduzir a educação e treinamento de forma eficaz. Convém que o programa esteja alinhado com as políticas e procedimentos relevantes de segurança da informação da organização, levando em consideração as informações da organização a serem protegidas e os controles que devem ser implementados para proteger a informação. Convém que o programa considere diferentes formas de educação e treinamento, tais como, leituras ou auto-estudos."
FONTE: NBR ISO/IEC 27002:2013 - pág. 19
-
Questão difícil já que todos os itens existem na norma e fazem parte da seção “Segurança em recursos humanos”. A questão pede um controle da subseção “Durante a contratação”, e a única correta é a letra (b). As demais letras trazem controles da subseção “Antes da contratação”.
-
Pra respondi pela palavra chave "direção" no comando da questão e conhecimento básico de gestão organizacional, a única atribuição que poderia ser a nível de direção era a alternativa B, o restante está mais para nível de departamento(no maximo).