SóProvas

ID
459337
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

No contexto do histórico do modelo que abrange as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, é INCORRETO afirmar:

Alternativas
Comentários
  • a ISO 17799 não possui duas partes e controles não são selecionados da 27001.

  • A NBR ISO/IEC 17799:2005, essa norma teve sua numeração modificada para 27002 em 2007, sem modificação alguma no seu conteúdo.
  • 1989 - Elaborado pelo Commercial Computer Security Centre (CCSC), pertencente ao Departament of Trade and Industry, o "Código de Prática do Usuário" é publicado com a finalidade de auxiliar os usuários de TI;
    1995 - O "Código de Prática do Usuário" é aperfeiçoado, resultando no "Código de Prática para a Gestão da Segurança da Informação", que dá origem à norma BS 7799:1995 - Parte 1;
    1999 - A primeira revisão da BS 7799 - Parte 1 é publicada (BS 7799:1999 - Parte 1);
    2000 - Baseada na BS 7799 - Parte 1, a ISO propõe a norma ISO/IEC 17799:2000;
    2002 - A BS 7799:2002 - Parte 2 é lançada com o objetivo de implantar o Sistema de Gestão de Segurança da Informação (SGSI);
    2005 - Baseada na BS 7799:2002 - Parte 2, a ISO propõe a norma ISO/IEC 27001:2005.

    Fonte: FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz de. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 2ª Ed. Rio de Janeiro: Brasport, 2008.

  • Resposta: Letra E. Muitas questões da FCC que envolvem as ISO 27K tentam confundir a função da ISO 27001 com a função da ISO 27002. Nesse caso, quem tem os controles é a ISO 27002. A 27001 é voltada para a certificação, desde que adotados os controles da 27002. Alguém me corrija se eu estiver errado :)

  • Letra E tem dois erros: 17799/2005 passou a ser chamada 27002 sem alterações de conteúdo e, segundo, na implantação do SGSI os controles são selecionados da 27002.

  • Item incorreto: alternativa E. O erros que eu identifiquei foram:

    - a ISO/IEC 17799-1:2005 sofreu correções e transformou-se na ISO/IEC 27002.

         Como já dito pelo colega a norma não sofreu correções ao mudar sua nomenclatura para ISO 27002

    - tendo como objetivo a implantação de um SGSI, considerando controles selecionados a partir da ISO/IEC 27001.

        A norma que possuí, bem claro, como um de seus objetivos implantar um SGSI (Sistema de Gestão da Segurança da Informação) é a ISO 27001:

    "A norma 27001:2006 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI"

    "Já a norma 27002:2005 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."

    Fonte: material do Socrátes Filho 

  • Tá de sacanagem... pra que diabos um analista de redes ia precisar saber isso?

  • vtnc, qual a relevância disso para o concurso? pqp viu

  • Eita kkkk