SóProvas

ID
3046711
Banca
FCC
Órgão
Câmara Legislativa do Distrito Federal
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Considere, por hipótese, que um Analista de Sistemas está responsável pelo do processo de auditoria interna da CLDF para avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação. Seguindo as recomendações da norma ABNT NBR ISO/IEC 27001:2013, o Analista deve

Alternativas
Comentários

  • A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o SGSI:

    [...]

    c) Planejar, estabelecer, implementar e manter um programa de auditoria (frequência, métodos, responsabilidades, requisitos de planejamento e relatórios) que leve em conta a importância dos processos pertinentes e as auditorias anteriores.

    Fonte: ABNT NBR ISO/IEC 27001:2013 (Seção 9 - Item 9.2).

  • Claro que é legal saber da norma , porém lendo com calma, dá para chegar ao gabarito

    a) implementar um programa de auditoria enxuto, incluindo apenas os métodos e as responsabilidades. 

    Errada. Esse apenas nos dá a entender que não se deve ser dada atenção a outros recursos

     

    b) definir os mesmos critérios e escopo para todas as auditorias.

    Errada. Cada auditoria é diferente 

     

    d) selecionar auditores que possam ser influenciados no processo de auditoria.

    Errada. Se selecionar auditor desse porte a auditoria poderá ser comprometida

     

    e) descartar as informações resultantes da auditoria após elas terem sido analisadas e medidas terem sido tomadas.

    Errada. Descartar ao meu ver é sinônimo de ser ignorada, algo que numa auditoria nunca deve ser feita

  • A) Enxuto? Quem já viu esse term em uma norma levanta a mão? KKK. Nenhuma auditoria, seja qual for a área, é enxuta. Auditorias servem para garantir que processos, normas, leis e regulamentos estão sendo atendidos de verdade. São bastantes críticas e detalhistas. Imagina numa montadora de carro, ter uma auditoria enxuta na norma dos teste de segurança? ferrou, né?

    B) A cada auditoria, seja qual for a norma, é alterado o formato para poder identificar possíveis "bypass" nos processos que a mesma busca validar.

    C) Certo.

    D) A 27k1 diz extamente o contrário.

    E) As normas da familia 27k são bem chatas quanto ao descarte de informação.

  • ISO 27001

    Item 9.2 Auditoria Interna

    Organização deve:

    a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os RESULTADOS DE AUDITORIAS ANTERIORES.