SóProvas

ID
2733940
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue o seguinte item, relativos a governança e gestão de tecnologia da informação (TI), conforme os diversos frameworks, modelos de gestão, bibliotecas e processos.

Uma empresa que siga a norma NBR ISO/IEC 27001 é obrigada a implementar um sistema de gestão de segurança da informação que abranja todas as possibilidades da ISO, mesmo que estas sejam superiores às necessidades da organização.

Alternativas
Comentários

  • Gabarito Errada

    Ela pode seguir a ISO 27001, mas não é obrigada a implementar.

     

    Vamos na fé !

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Caso queira ser certificada ISO 27001 deverá seguir todos os REQUISITOS da norma,.

  • Determinadas organizações, obrigam a que os seus fornecedores ou parceiros detenham certificações, nomeadamente a ISO 27001, como garante do cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nível extra de conforto no que concerne à Segurança da Informação. As organizações que adoptam e se certificam nesta norma, atribuem especial importância à proteção da informação e demonstram-no através da certificação na mesma. Fonte: https://www.27001.pt/ Agora eu pergunto: é ou não é obrigatório?????

  • Uma empresa que siga a norma NBR ISO/IEC 27001 é obrigada a implementar um sistema de gestão de segurança da informação que abranja todas as possibilidades da ISO, mesmo que estas sejam superiores às necessidades da organização.

     

    Realmente, como o Diego Cardoso disse, "Caso queira ser certificada ISO 27001 deverá seguir todos os REQUISITOS da norma,." Mas, é preciso atender as necessidades da organização, não serem superiores (Contexto da Organização). Acredito esse ser o erro da questão

  • Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles?

    Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados.

    Para os controles que são aplicáveis elabora-se uma declaração de aplicabilidade e os que não são tem que haver uma justificativa.


    https://www.strategics.com.br/perguntas-mais-frequentes-par-a-certificacao-na-nbr-isoiec-27001/

  • Ano: 2017

    Banca: FGV

    Órgão: IBGE

    Prova: Analista Censitário - Análise de Sistemas - Suporte Operacional e de Tecnologia

    Uma empresa deseja ser certificada na implementação da norma ISO 27001. Para tal, ela deve seguir com rigor o que preconiza a norma, como por exemplo:

    a) selecionar as partes da norma aplicáveis à empresa, recebendo assim a certificação apenas sobre essas partes implementadas; 

    b) realizar previamente uma análise de risco com abordagem quantitativa; 

    c) definir uma política de segurança com base no uso efetivo de um conjunto técnico de ferramentas, de reconhecida eficiência;

    d) garantir que os gestores de segurança realizem análises críticas do SGSI em intervalos regulares; 

    e)  justificar, na declaração de aplicabilidade, o motivo da não utilização de controles listados na própria norma.

  • Errado

    Pois as empresa podem adotar regras de seguranças contidas no padrão ISO 27001, mas não necessarimente está obrigada a implementa-la.

    A ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação – Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). ... É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio.

  • "A exclusão de quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável quando a organização busca a CONFORMIDADE com esta Norma." 27001:2013 Pág 3


    No entanto, a norma registra:

    "elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;"

    27001:2013 Pág 7


    Portanto, se têm justificativa para exclusão de controles, há exceções no que tange a obrigatoriedade de implementação de tais controles.

  • É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples.

  • Aí a empresa consegue a certificação e, tempos depois, encara uma pandemia e manda todo mundo trabalhar de casa fazendo home office, uma coisa que não existia na empresa até o momento. Bom, agora ela tem a ISO 270001 e já está certificada para algo que nunca havia feito.

  • Normas são criadas com a função de organizar e dar padrões aos processos, porém nem todas as normas e regras no caso da ISO devem ser seguidas a risca, devendo assim adaptar para cada empresa suas funções e especificidades sem necessariamente seguir todas as regras nela contida. É preciso avaliar para saber oque se encaixa em cada seguimento ou então não teríamos tantas operações diferentes, seríamos todos iguais e sem características que nós diferenciam.

    ERRADO