SóProvas

O erro da A), está em "rever". Deveria ser "analisar criticamente".

i) Estabelecer SGSI (Plan).
ii) Implementar e Operar SGSI (Do).
iii) Monitorar e Analisar criticamente SGSI (Check).
iv) Manter e Melhorar SGSI (Act)

O gabarito é a letra D. 

Analisando as demais alternativas:

A - Conforme o colega mencionou, o erro está na palavra rever. 

B - Se os intervalos são aleatórios, não há como os funcionários estarem preparados. 

C - A inclusão não é facultativa em todos os casos.

E - Há diversos benefícios na utilização da segurança da informação. 

Complementando também: na A) ele fala em Sistema de Governança de TI da empresa. Deveria ser Sistema de Gestão de Segurança da Informação.

B, C e E também com erros.

D é a resposta

A palavra "rever" não está errada, segundo alguns autores.

O erro é o trecho: melhorar o Sistema de Governança de TI da empresa.

O correto é: "prover um modelo para monitorar, rever, operar, implantar, estabelecer e melhorar um ISMS (Information Security Management System) ou Sistema de Gestão da Segurança da Informação"

@papirobizurado

=====Letra A=====

foram preparadas para prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar o Sistema de Governança de TI da empresa.(Errado)

ISO/IEC 27001: foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI).

ISO/IEC 27002: é projetada para organizações que usam a norma como uma referência para selecionar controles dentro do processo de implementação do sistema de gestão de segurança da informação ou como um guia para implementar controles aceitos de segurança da informação.

=====Letra B=====

uma organização deve conduzir auditorias internas de segurança da informação em intervalos estritamente aleatórios, para que os funcionários sempre estejam preparados para serem auditados externamente.(Errado)

A norma diz que a organização deve:

-Entender o contexto interno e externo da organização em relação aos riscos, identificando as questões que são relevantes para o seu propósito.

-Identificar as partes interessadas que são relevantes para o sistema.

-Identificar os requisitos dessas partes interessadas.

-A definição do escopo do sistema face às questões internas, externas e requisitos.

-O escopo deve ser documentado.

=====Letra C=====

a inclusão da segurança da informação no processo de gerenciamento da continuidade de negócios é facultativa em todos os casos. (Errado)

Aspectos de segurança da informação da gestão da continuidade do negócio:

-A organização deve determinar seus requisitos para a segurança da informação e para a continuidade da gestão da segurança da informação em situações adversas, por exemplo, durante crises ou desastres.

-A organização deve estabelecer, documentar, implementar e manter processos, procedimentos e controles para assegurar o nível requerido de continuidade durante uma situação adversa.

-A organização deve verificar periodicamente os controles implementados de continuidade da segurança da informação visando assegurar que estejam válidos e efetivos durante uma situação adversa.

-As instalações de processamento de informações devem ser implementadas com redundância sufi ciente para atender aos requisitos de disponibilidade.

=====Letra D=====

no que tange à monitoração e à revisão do ISMS (INFORMATION SECURITY MANAGEMENT SYSTEM), a metodologia do risco e os riscos residuais devem ser revistos em intervalos planejados. (Certo)

=====Letra E=====

o único benefício da segurança da informação está na proteção da imagem da instituição, evitando-se futuras ações indenizatórias na justiça.(Errado)

Os benefícios da segurança da informação estão na prevenção de perdas financeiras que a organização pode ter, no caso da ocorrência de incidentes de segurança da informação. A organização também pode abalar a sua imagem ou sofrer ações na justiça pelas perdas que seus sistemas possam causar aos seus clientes.