Questão Q830266

Uma empresa deseja ser certificada na implementação da norma ISO 27001. Para tal, ela deve seguir com rigor o que preconiza a norma, como por exemplo:

Alternativas

selecionar as partes da norma aplicáveis à empresa, recebendo assim a certificação apenas sobre essas partes implementadas;

realizar previamente uma análise de risco com abordagem quantitativa;

definir uma política de segurança com base no uso efetivo de um conjunto técnico de ferramentas, de reconhecida eficiência;

garantir que os gestores de segurança realizem análises críticas do SGSI em intervalos regulares;

justificar, na declaração de aplicabilidade, o motivo da não utilização de controles listados na própria norma.

Comentários

Letra E) Elaborar uma declaração de aplicabilidade que contenha os controles necessários, e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controle.

http://www.daddario.com.br/seguranca-da-informacao-na-iso-270012013/
LETRA E.

Segundo a ISO 27001:2013,"6.1.3 Tratamento de riscos de segurança da informação.
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:

d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;"
Qual é o erro da "C"?
Bom dia Wellington! creio que o erro da alternatica C é mencionar " no uso efetivo de um conjunto técnico de ferramentas", pois a ISO 27001 fala em normas de uma maneira genérica(comparando ao nível estratégico), não mencionando uso de de ferramentas ( o que seria o nível operacional).;
http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27002-2013.pdf

http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27001-2013.pdf
Em relação a letra D, a análise crítica é realizada pela alta direção a intervalos planejados.

.
.
At.te
Foco na missão ❣
Essa é uma daquelas questões bem sem vergonhas que só dá a vc a oportunidade de acercar por eliminação. Veja o que diz a ISO 27001:
6.1.3 Tratamento de riscos de segurança da informação.
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:
(...)
d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;

Ou seja, estaria certo se ele dissesse também
A) justificar, na declaração de aplicabilidade, o motivo da utilização de controles listados na própria norma.

Repare que ele usa o termo não utilizado como não implementado, como diz a norma.

SóProvas

Continue usando...

O que está incluso