SóProvas

ID
2233198
Banca
FCC
Órgão
TRT - 20ª REGIÃO (SE)
Ano
2016
Provas
Disciplina
Segurança da Informação
Assuntos

Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR ISO/IEC 27001:2013. Ao se definir quem deve estabelecer uma política de segurança da informação que seja apropriada ao propósito da organização, o correto é atribuir à

Alternativas
Comentários

  • 5 Liderança
    5.1 5.1 Liderança e comprometimento
    A Alta Direção deve demostrar sua liderança e comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios:
    a) assegurando que a política de segurança da informação e os objetivos de segurança da informaçao estão estabelecidos e são compatíveis com a direção estratégica da organização;
    b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da organização;
    c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação estejam disponíveis;
    d) comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação;
    e) assegurando que o sistema de gestão da segurança da informação alcança seus resultados pretendidos;
    f) orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança da informação;
    g) promovedo a melhoria contínua; e
    h) apoiando outros papéis relevantes da gestão para demostrar como sua liderança se aplica às áreas sob sua responsabilidade.

    FONTE: NBR ISO/IEC 27001:2013

  • No texto citado pelo colega MESSIAS, eu entendo que a PSI deve ser aprovada e suportada pela Alta Gestão. Desculpem, mas não vi que é a alta gestão que deve estabelecer a PSI. Até pq, quem faz parte da Alta Gestão não necessariamente deve entender de Segurança da Informação.

    Assim, acredito que o correto seria que a PSI fosse criada pelo Comitê de Segurança da Informação, em seguida fosse avaliada e endossada pela Alta Gestão.

  • @George Silva, tudo bem? 

    Bom, a ISO 27001 (assim como as demais da família 27000) não é propriamente voltada apenas à TI. É voltada a qualquer tipo de organização e/ou departamento. Quando tratamos da ISO 27001 especialmente, as diretivas devem, sempre, vir do alto escalão e só chegar ao operacional (equipe de TI) no último estágio (tanto que na norma em si, o Operacional está apenas na Seção 8... enquanto da 0 à 7 são tratados os aspectitos informativos e de planejamento, ficando pro final, a aplicabilidade pelo time operacional).

    Desta forma, quem estabelece a ISO 27001 e suas diretivas, é a Alta Gestão mesmo.

    Abraços!

     

  • Obrigado Marcio.

  • 5.2 Política

    A Alta Direção deve estabelecer uma politíca de segurança da informação que:

    a) seja apropriada ao propósito da organização;

    FONTE: NBR ISO/IEC 27001:2013

  • Abordagem top-down, a alta direção é quem deve iniciar tudo quando se trata dessa implementação.


    Fortuna Audaces Sequitur

  • Estabelecer a Política de Segurança da Informação é responsabilidade da Alta Direção.

    Resposta certa, alternativa c).