-
O controle "9.2.3 - Gerenciamento de direitos de acesso privilégiados" diz "A concessão e uso de direitos e acesso privilégiado devem ser restritos e controlados". Não entendi o porquê a letra A está errada. Nos controles da seção "Controle de acesso" não vi nada específico sobre acesso remoto.
-
GABARITO : D
Fonte : Norma 27002:2013, pág. 8
6.2 Dispositivos móveis e trabalho remoto
6.2.1 Política para o uso de dispositivo móvel
....
Convém que sejam estabelecidas proteções para evitar o acesso não autorizado ou a divulgação de informações armazenadas e processadas nesses dispositivos, por exemplo, usando técnicas de criptografia (ver Seção 10) e obrigando o uso de autenticação por informação secreta (ver 9.2.4).
-
Respondendo ao colega DIEGO GUEDES:
Acredito que a letra a) esteja errada pelo fato de ela tratar do objetivo de controle, Gerenciamento de acesso do usuário, especificamente do controle, Gerenciamento de direitos de acesso privilegiados, o qual diz o seguinte:
Convém que a concessão e o uso de direitos de acesso privilegiado sejam restritos e controlados.
RESUMO: Gerenciamento de acesso do usuário > Gerenciamento de direitos de acesso privilegiados
.
.
E como a questão trata do controle de acesso à rede, que é um controle do objetivo de controle: Requisitos do negócio para controle de acesso. Então a alternativa correta é a letra d), pois traz uma das diretrizes desse controle:
e) requisitos de autenticação do usuário para acessar vários serviços de rede.
-
A) 9.2.3 Gerenciamento de direitos de acesso privilegiado
B) Não é controle na ISO 27002:2013
C) 9.4.2 Procedimento seguro de Logon
D) Correta.
E) 16.1.2 Notificação de eventos de segurança da informação