-
O tópico 8 da ISO 27002:2013 trata da Gestão de Ativos. Dentro do tópico, temos o item 8.1 Responsabilidade pelos ativos. Dentro dele temos o sub-item 8.1.2 Proprietário dos ativos. Trazendo o mais importante para respondermos à questão, temos:
8.1. Responsabilidade pelos ativos:Objetivo:
Identificar os ativos da organização; e
Definir as responsabilidades apropriadas para a proteção dos ativos.
8.1.2. Proprietário dos ativos:
Controle:
Convém que os ativos mantidos no inventário tenham um proprietário;
Informações adicionais:Em sistemas de informação complexos, pode ser útil definir grupos de ativos que atuem juntos para fornecer um serviço particular;
Neste caso, o proprietário deste serviço é responsável pela entrega do serviço, incluindo a operação dos ativos envolvidos.
A frase "... o proprietário deste serviço é responsável pela entrega do serviço, incluindo a operação dos ativos envolvidos" contém o trecho-chave que corrobora o que a questão quis dizer.
-
Gabarito Certo
De acordo com a norma NBR ISO/IEC 17799
Gestão de Ativos
Responsabilidade pelos ativos. O objetivo e alcançar e manter a proteção adequada dos ativos da organização. Convém que todos os ativos sejam inventariados e tenham um proprietário responsável. Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles.
Proprietário dos ativos. Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização. As tarefas de rotina podem ser delegadas, por exemplo, para um custo diante que cuida do ativo no dia-a-dia, porém a responsabilidade permanece com o proprietário. Em sistemas de informação complexos pode ser útil definir grupos de ativos que atuem juntos para fornecer uma função particular, como serviços. Neste caso, o proprietário do serviço é o responsável pela entrega do serviço, incluindo o funcionamento dos ativos, que provê os serviços.
Classificação da informação. Objetivo: Assegurar que a informação receba um nível adequado de proteção. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.
Recomendações para classificação. Que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. E seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informação, Em geral, a classificação dada à informação é uma maneira de determinar como esta informação vai ser tratada e protegida.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
-
Segundo a ISO 27002:2013,"
8.1.2 Proprietário dos ativos
Controle
Convém que os ativos mantidos no inventário tenham um proprietário."
-
GABARITO: CERTO.
-
Segundo a ISO 27002:2013,"
8.1.2 Proprietário dos ativos
Controle
Convém que os ativos mantidos no inventário tenham um proprietário."
-
Acertei, mas fiquei em dúvida em relação ao "DEVE", pois na norma só fala "CONVÉM"
-
Respondi com base na LGPD, tbm diz isso