SóProvas


ID
2702779
Banca
FCC
Órgão
SABESP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

No processo de classificação e controle dos ativos de informação,

Alternativas
Comentários
  • 8.2 Classificação da informação
    Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.
     

    8.2.1 Classificação da informação
    Controle: Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.

    [...]

    Informações adicionais
    A Classificação fornece às pessoas que lidam com informações uma indicação concisa de como tratar e proteger a informação. A criação de grupos de informação com necessidades de proteção semelhantes e especificação dos procedimentos de segurança da informação que se aplicam a todas as informações de cada grupo, é um facilitador. Esta abordagem reduz a necessidade de avaliação de risco e a customização personalizada de controles caso a caso.
    A informação pode deixar de ser sensível ou crítica após certo período de tempo, por exemplo, quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de controles desnecessários, resultando em despesas adicionais ou, pelo contrário, classificações subestimada podem pôr em perigo o alcance dos objetivos de negócio.

  • b) o estágio de rotulagem é quando se atribui um nível de classificação a uma informação, fazendo com que a mesma passe a respeitar as proteções associadas ao nível de classificação escolhido. Nem todo ativo de informação deve ser classificado. Esta é uma regra da Norma ABNT NBR ISO/IEC 27001:2013. 

    O item está correto quanto a descrição porém aponta para norma errada, sendo que o correto seria: Norma ABNT NBR ISO/IEC 27002:2013. Tornando assim o item errado

    Vejamos a norma:

    8.2.2 (...)
    Informações adicionais

    A rotulação de informações classificads é um requisito chave para acordos de compartilhamento de informações. Rótulos fisícos e metadados são uma forma comum de rotulage. 

  • LETRA E

    Rotulação não é igual a Classificação. Rotular não é Classificar

    Existe uma seção na norma para Tratar a Classificação e uma seção para Tratar a Rotulagem
    8.2.1 - Classificação da informação
    Controle
    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.

    8.2.2 - Rótulos e tratamento da informação
    Controle
    Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de CLASSIFICAÇÃO da informação adotado pela organização.

    Por um mundo onde os arrombados coloquem a letra referente a resposta da questão!

  • Rodolfo. Caso alguém não coloque a resposta é só você ir em "Estatísticas" que da pra saber.... Tão simples 

  • Jubileu J valeu, mas nessa época eu preferia ofender as pessoas.

    Detalhe: sempre tive assinatura, saber a resposta nuca foi um problema para mim.

  • 8.2 Classificação da informação

    Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.

    8.2.1 Classificação da informação

    Controle

    Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.

    Diretrizes para implementação

    Convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais.

    Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo.

    Convém que os proprietários de ativos de informação sejam responsáveis por sua classificação.

    Convém que o esquema de classificação inclua convenções para classificação e critérios para análise crítica da classificação ao longo do tempo.

    Convém que o nível de proteção seja avaliado por meio da análise da confidencialidade, integridade e disponibilidade e quaisquer requisitos considerados para a informação.

    Convém que o esquema esteja alinhado com a política de controle de acesso (Ver 9.1.1).

    Convém que a cada nível seja dado um nome que faça sentido no contexto do esquema de classificação.

    Convém que o esquema seja consistente em toda a organização de forma que cada pessoa possa classificar a informação e os ativos relacionados da mesma forma, e tenham um entendimento comum dos requisitos de proteção e apliquem a proteção apropriada.

    Convém que a classificação seja incluída nos processos da organização e seja consistente e coerente em toda a organização.

    Convém que os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização, em termos da confidencialidade, integridade e disponibilidade.

    Convém que os resultados da classificação sejam atualizados de acordo com as mudanças do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.