-
O item 5.2 da norma (desculpem pela versão em inglês. Não traduzi para evitar perda de informação):
An Information Security Measurement Programme should include the following processes:
a) Measures and measurement development (see Clause 7) ;
b) Measurement operation (see Clause 8);
c) Data analysis and measurement results reporting (see Clause 9); and
d) Information Security Measurement Programme evaluation and improvement (see Clause 10).
Gabarito: alternativa B
-
Convém que um Programa de Medição de Segurança da Informação inclua os seguintes processos:
desenvolvimento de medidas e medição (ver Seção 7);
operação da medição (ver Seção 8);
relato dos resultados da análise de dados e da medição (ver Seção 9);
e avaliação e melhoria do Programa de Medição de Segurança da Informação (ver Seção 10).
Convém que a estrutura organizacional e operacional de um Programa de Medição de Segurança da Informação seja determinada levando em consideração a escala e a complexidade do SGSI do qual ele é parte.
https://qualidadeonline.wordpress.com/2017/02/03/da-para-medir-a-eficacia-da-seguranca-da-informacao-em-sua-empresa/
-
pow mano, iso 27004 tbm? já basta a 27002, 27001 e 27005?