-
5.3 Autoridades, responsabilidades e papéis organizacionais
A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuidos e comunicados.
A Alta Direção deve atribuir a responsabilidade e autoridade para:
a) assegurar que o sistema de gestão da segurança da informação está em conformidade com os requisitos desta Norma;
b) relatar sobre o desempenho do sistema de gestão da segurança da informação para a Alta Direção.
-
Por que não a B ?
-
5.2 Política
Ainda, a Alta Direção deve estabelecer uma política de Seg Info que:
b) Inclua objetivos de SI. (ver 6.2) ou forneça a estrutura para estabelecer os objetivos de SI.
6.2 Objetivos de SI e planejamento para alcança-los
Acho que o erro da B é a alta direção ter a opção de não defini-los.
...OU forneça a estrutura para estabelecer.
-
Respondendo a Amiga Juliana
Segundo a Norma o conceito está invertido . Primeiro vc define a estrutura da Organização , depois vc cria os objetivos com base nessa estrutura.
"É importante que um sistema de gestão da segurança da
informação seja parte de, e esteja integrado com, os
processos da organização e com a estrutura de
administração global, e que a segurança da informação
seja considerada no projeto dos processos, sistemas de
informação e controles.
" ISO 27001:2013
Espero ter ajudado !
-
a) Errado. A Alta Direção deve estabelecer uma politíca de segurança da informação que seja apropriada ao propósito da organização;
b) Errado. A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis relevantes. É a organização que define os objetivos de segurança da informação e não a alta direção.
c) Errado. A norma não faz menção a COBIT em nenhum momento.
d) certo.
e) Errado. a norma não menciona ITIL em nenhum momento.
Gabarito: d)
-
Geralmente quando se fala em alta direção, já penso em atribuir/delegar responsabilidades.