-
Na minha opinião a resposta está errada, pois conforme consta na ISO 15991, os testes devem ser realizados todo ano, sendo indiferente o fato de ter havido mudança na organização. O bom senso também me leva a crer que essa questão está muito mal formulada. Quer dizer que se a organização permanecer sempre a mesma, por dezenas de anos, não deve haver teste nenhum do plano?
-
Concordo com o comentário anterior. Segundo a norma 15999 (Gestão da Continuidade do Negócio), os testes devem ser periódicos ou realizados sempre que houver algum mudança relevante na organização.
-
A norma não estabelece uma frequência para que sejam realizados os testes.
A alternativa C está correta.
-
Durante o desenvolvimento inicial do plano de continuidade de negócio, testes devem ser um processo interativo até que o plano seja julgado e considerado plenamente pronto para uso.
Uma vez que o plano está adequado, mais testes devem ocorrer assim que ocorram mudanças significativas nas operações de negócio ou na infra-estrutura de ativos e serviços de suporte (IT, voz, etc.) e/ou no próprio plano.
Os recursos necessários para tais testes dependerão da extensão de mudança. De todos modos, re-testes periódicos devem acontecer para assegurar que o plano permanece em linha com os requisitos de negócios e da corporação.
-
Complemento
Segundo a ISO 27002,
"14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio
Controle
Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade."
-
Vamos analisar em partes.
1. Colocando em um único período o enunciado e a alternativa "certa":
"A frequência ideal de testes de um plano de continuidade de continuidade de negócio é sempre que houver mudanças relevantes na organização."
Lendo esse texto isoladamente a palavra SEMPRE foi forte, pois pode sugerir que o ideal é somente quando houver mudanças. Mas o bom senso exposto por Maurício Santos nos leva a raciocinar que não é somente quando as mudanças ocorrerem que devemos realizar testes. Lembrem-se que também existem mudanças que não são explícitas e que às vezes só a descobrimos quando testamos algo.
2. Conforme nosso colega Tanebaum expôs, a norma não define frequência específica para testes no GCN. Logo, as outras alternativas não poderiam ser possíveis.
3. Conclusão:
A questão foi imprecisa? Sim. Limitou um universo. ( paciência!:/ )Mas as outras alternativas são mais limitadoras ainda, pois definem uma frequência exata e a norma não.
Então marquemos a menos "errada". Isso é ser concurseiro.
-
Eu entendo a norma da seguinte forma: períódico mas ( com uma periodicidade anual), entretanto se você tem fatos relevantes, essa vai se antecipar aos 12 meses, assim como se houver indícios de falhas também.
Portanto a norma preferiu dar discricionaridade às organizações, porque se você não tem fatos relevantes que coloquem em risco o SGSI em 12 meses, não há indícios de falhas durante esse tempo, então talvez fosse caso de verificar se os controles não estariam frouxos, a empresa está vegetando e convenhamos 1 ano sem fatos relevantes é preocupante para a empresa, talvez tenha morrido e não os avisaram,rs.
Sem ler a norma, ainda diria que seguindo o raciocínio de auditoria, assinalaria que sempre que fatos relevantes ocorram seria apropriado verificar os controles.
-
Em 22/02/22 às 22:37, você respondeu a opção D.!
Em 02/03/18 às 10:23, você respondeu a opção D.!
Continuo achando que é D