-
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o SGSI:
[...]
c) Planejar, estabelecer, implementar e manter um programa de auditoria (frequência, métodos, responsabilidades, requisitos de planejamento e relatórios) que leve em conta a importância dos processos pertinentes e as auditorias anteriores.
Fonte: ABNT NBR ISO/IEC 27001:2013 (Seção 9 - Item 9.2).
-
Claro que é legal saber da norma , porém lendo com calma, dá para chegar ao gabarito
a) implementar um programa de auditoria enxuto, incluindo apenas os métodos e as responsabilidades.
Errada. Esse apenas nos dá a entender que não se deve ser dada atenção a outros recursos
b) definir os mesmos critérios e escopo para todas as auditorias.
Errada. Cada auditoria é diferente
d) selecionar auditores que possam ser influenciados no processo de auditoria.
Errada. Se selecionar auditor desse porte a auditoria poderá ser comprometida
e) descartar as informações resultantes da auditoria após elas terem sido analisadas e medidas terem sido tomadas.
Errada. Descartar ao meu ver é sinônimo de ser ignorada, algo que numa auditoria nunca deve ser feita
-
A) Enxuto? Quem já viu esse term em uma norma levanta a mão? KKK. Nenhuma auditoria, seja qual for a área, é enxuta. Auditorias servem para garantir que processos, normas, leis e regulamentos estão sendo atendidos de verdade. São bastantes críticas e detalhistas. Imagina numa montadora de carro, ter uma auditoria enxuta na norma dos teste de segurança? ferrou, né?
B) A cada auditoria, seja qual for a norma, é alterado o formato para poder identificar possíveis "bypass" nos processos que a mesma busca validar.
C) Certo.
D) A 27k1 diz extamente o contrário.
E) As normas da familia 27k são bem chatas quanto ao descarte de informação.
-
ISO 27001
Item 9.2 Auditoria Interna
Organização deve:
a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os RESULTADOS DE AUDITORIAS ANTERIORES.