SóProvas

ID
271099
Banca
CESPE / CEBRASPE
Órgão
PREVIC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere à classificação e controle de ativos da informação,
segurança de ambientes físicos e lógicos e controle de acesso,
julgue os itens que se seguem de acordo com as normas
NBR/ISO/IEC 27001/2006 e 27002/2005.

Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.

Alternativas
Comentários
  • Segundo a norma 27001, o controle relativo a remoção de propriedade quer dizer que nenhum equipamento, informação ou software deve ser retirado do lugar sem autorização prévia.
    Não faz nenhuma referência ao controle de acesso ao ativo.
  • Além disso, este objetivo de controle "Alcançar e manter a proteção adequada dos ativos da organização" não existe na referida norma
  • A primeira parte da questão está correta, pois segundo a própria Norma, no tópico 1) Objetivos 1.1) Geral: "O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas."

    O erro está na segunda sentença, no que se refere ao controle à remoção de propriedade como nosso amigo já informou. Só para completar e deixar a informação mais completa e confirmar o que foi dito, a Norma diz no tópico A.9.2.7 "Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia."

    Sendo este um tópico a respeito de Controle em relação a Segurança de Equipamentos.
  • Chega de Core, core e core galera.  

    A questtão diz: há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado

    A questão diz que o que não for mais utilizado deverá ser DESVINCULADO, isso é errado. De acordo com a norma deve ser DESTRUIDO e não desvinculado. É só isso galera.
  • Exite sim o objetivo referido na questão na norma ISO/IEC 27002:2005:

    Categoria - A.7 Gestão de Ativos
                         A.7.1 Responsabilidades pelos ativos

    Objetivo: Alcançar e manter a proteção adequada dos ativos da organização

    Controle - A.7.1.2 Proprietário dos ativos: Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização.

    O que não existe é o controle definido na segunda parte da questão.
  • Há vários erros nessa questão:

    Ela se refere à norma ISO 27002 e não à ISO 27001.

    "Alcançar e manter a proteção adequada dos ativos da organização." não é um controle, e sim um objetivo do controle de 7.1 Responsabilidade pelos ativos.

    Remoção de propriedade não tem nada a ver com "determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.", e sim com "Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia. " e pertence ao controle 9.2  Segurança de equipamentos.

    P.S. É cada comentário que a gente encontra por aqui..

  • Remoção de propriedade tem na ISO 27001 sim.

    A.9.2.7 -> Remoção de propriedade - Controle -> Equipamentos, informações ou software não devem ser retirados do local sem autorização prévia. 


  • Prezados,

    A questão acerta ao afirmar que alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido pela norma ISO 27001, vemos esse controle no Anexo A , A.7.1 Responsabilidade pelos ativos, cujo objetivo é alcançar e manter a proteção adequada dos ativos da organização.

    Porém, a questão erra ao afirmar que associado a esse objetivo há o controle relativo à remoção de propriedade. Vemos no anexo da ISO 27001 a seguinte relação de controles para responsabilidade pelos ativos :

    A.7.1 – Responsabilidade pelos ativos

      A.7.1.1 Inventário dos ativos : Todos os ativos devem ser claramente identificados e um inventário de todos os ativos importantes deve ser estruturado e mantido

      A.7.1.2 Proprietário dos ativos : Todas as informações e ativos associados com os recursos de processamento da informação devem ter um proprietário designado por uma parte definida da organização

      A.7.1.3 Uso aceitável dos ativos : Devem ser identificadas, documentadas e implementadas, regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação.

    Portanto, questão errada.


    A alternativa correta é : ERRADO.

  • De acordo com a NBR/ISO/IEC 27001/2013:

    A.8 Gestão de ativos
    A.8.1. Responsabilidade pelos ativos
    Objetivo: Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.
    A.8.1.1 Inventário dos ativos
    Controle
    Os ativos associados com informação e com os recursos e processamento da informação devem ser identificados e um inventário destes ativos deve ser estruturado e mantido.
    A.8.1.2 Proprietário dos ativos
    Controle
    Os ativos mantidos no inventário devem ter um proprietário.
    A.8.1.3 Uso aceitável dos ativos
    Controle
    Regras para o uso aceitável das informações, dos ativos associados com informação e os recursos de processamento da informação, devem ser identificados, documentados e implementados.
    A.8.1.4 Devolução de ativos (NOVO CONTROLE EM RELAÇÃO À VERSÃO ANTERIOR)
    Controle
    Todos os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, do contrato ou acordo.

  • Ué, pra mim a ISO 27001 não fala sobre isso mesmo não. Só a ISO 27002.