SóProvas

ID
271090
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com as normas NBR/ISO/IEC 27002/2005 e
NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do,
check, act), adotado por esta última para estruturar os processos do
sistema de gestão da segurança da informação (SGSI), julgue os
itens a seguir.

Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.

Alternativas
Comentários
  • Segundo a própria Norma 27001 "Esta Norma é projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas de gestão relacionados."
  • Anexo A (Objetivos de Controle e Controles) - que é a base da norma ISo 27001 - define:

    "Os  objetivos  de  controle  e  controles  listados  na  tabela  A.1  são  derivados  diretamente  e  estão  alinhados  com
    aqueles listados na ABNT NBR ISO/IEC 17799:2005 – seções 5 a 15. As listas na tabela A.1 não são exaustivas e
    uma organização pode considerar que objetivos de controle e controles adicionais são necessários. Os objetivos
    de  controle  e  controles  desta  tabela  devem  ser  selecionados  como  parte  do  processo  de  SGSI  especificado 
    em 4.2.1.  

    A  ABNT  NBR  ISO/IEC  17799:2005  -  seções  5  a  15  fornece  recomendações  e  um  guia  de  implementação  das
    melhores práticas para apoiar os controles especificados em A.5 a A.15. "

    A 17799 é a atual 27002. Ou seja, você pode muito bem substituir a 27002 pela 27001.
  • Roberto vc falou besteira nesse trecho: " Ou seja, você pode muito bem substituir a 27002 pela 27001."

    Esse item é polêmico pq a 27001 prevê controles adicionais e não a substiuição dos presentes na 27002. 

  • De acordo com a Norma é possível excluir controles, adicionar controles, e até mesmo permanecer controles já existentes, desde que justificados na Declaração de Aplicabilidade.

  • Mas Silvio, os controles que devem ser citados na declaração de aplicabilidade, na minha opinião, são os listados na ISO 27002. A organização tem liberdade para escolher os controles, desde que eles estejam elencados na 27002. Meu entendimento a respeito do assunto é esse e é por isso que eu também marquei a questão como errada.
  • O gabarito dessa questão é discutível! Na minha opinião deveria ser ERRADO.

    1.  Segundo a -> 2.  Referência Normativa da ISO/IEC 27001:2006 :

    A ABNT ISO/IEC 17799:2005 (27002) é indispensável para a aplicação desta norma.
     

    2. Segundo a -> 1.2 Aplicação da ISO/IEC 27001:2006 :

    "Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada..."

    Mesmo se não implementados, os controles da ISO 27002 devem ter a exclusçao justificada. Portanto, mesmo se utilizados outros controles de SI, não poderão ser em substituição aos da ISO 27002.
     

    3. Alguns controles da ISO 27002 são universais e indispensáveis, portanto serão fatalmente aplicados.


    Agora, tudo isso são requisitos de conformidade com a ISO 27001. Se você não utilizar a ISO 27002, não terá conformidade.
    E para que uma organização vai aplicar a ISO 27001 se ela não quer conformidade???
    Se o raciocínio do examinador foi o de aplicar a ISO 27001 sem conformidade - nesse caso o gab será CERTO -, ele foi de encontro aos princípios da própria norma... E seguindo esse raciocínio ainda, você pode desconsiderar qualquer outras exigências da norma que ta tudo bem!
    Elaborar questões pensando assim deixa a coisa bem sem critérios...


     

  • Ao meu ver a questão deveria ser considerada ERRADA por conta do seguinte trecho "até mesmo em substituição ao padrão 27002".
    O trecho dá a entender que alguma outra norma pode substituir TODA a norma 27002 o que não é verdadeiro... outras normas podem ser usadas em conjunto com a 27001 e 27002, mas não substituir uma delas por completo...
  • A meu ver, a pegadinha está em dizer  "Na prática", pois na prática o que é auditado é o somente o padrão 27001 -  que são os requisitos - enquanto o padrão 27002 -  que são os controles -  dizem quais controles convém serem implementados para atingirem os requisitos da 27001, ou seja, se for implementado outros controles de outra norma que atinjam os requisitos da 27001 então a 27001 está em conformidade. Na prática os auditores validam somente o padrão 27001, não existe auditoria em cima do padrão 27002.

    Se for considerar na teoria então temos que usar a 27002 de acordo o objeto 2 do padrão 27001:

    2 - Referência normativa
     
    O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, aplica-
    se apenas a edição citada. Para referência não datada, aplica-se a última edição do documento referenciado
    (incluindo as emendas).
     
    ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a
    gestão da segurança da informação.

    Obs.: A 17799:2005 é a atual 27002.
  • Meu entendimento foi o seguinte: é possível a substituição de algum controle de segurança da informação presente na 27002, de qualquer outra fonte de informação que seja aceita e válida para sua situação, que possa ser aplicado juntamente com a 27001, e que ainda assim o padrão 27001 esteja perfeitamente adequado? Sim, é possível.

  • 0.5 Seleção de Controles - página xi

    De onde podem ser selecionados os controles para assegurar que os riscos sejam reduzidos a um nível aceitável? {3 lugares}

    A partir desta norma;
    outro conjunto de controles;
    ou novos controles podem ser desenvolvidos.

  • CORRETÍSSIMA

    ISO27001 é uma norma e a 27002 é uma norma que apoia a 27001, não há a obrigação de se usar as duas juntas, não há nem a obrigação de se usar a 27001 para melhorar a segurança. a ISO é um padrão para se alcançar a Segurança da Informação, não é uma regra.