SóProvas

ID
459340
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:

I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.

II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.

IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.

Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em

Alternativas
Comentários
  • item I pertence à estrutura da norma 27002.
    item IV está incorreto porque o verbo convir é inerente a norma 27002.
  • "3.2 Principais categorias de segurança da informação
    Cada categoria principal de segurança da informação contém:

    a) um objetivo de controle que define o que deve ser alcançado; e
    b) um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle."


    4.1 Analisando/avaliando os riscos de segurança da informação
    Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido
    para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se
    necessário.    "

    Os item I e II estão errados porque os textos acima estão na NBR ISO/IEC 27002!!!
  • A primeira é dúbia pois na verdade, cada categoria principal (seção) de segurança da informação contém um ou mais objetivos de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
  • Estrutura da ISO 27002
    11 Seções de controles de segurança
    39 categorias principais, cada uma contendo um objetivo de controle
    133 controles

    Como dito nos comentários acima, apesar de a ISO 27001 elencar os 39 objetivos de controle e seus 133 controles no anexo I, ela não está organizada como dito no item I.
  • Palavras chaves para auxiliar na resolução dessa questão:

    27001: "DEVE...", REQUISITOS.
    27002: "CONVÉM...", "PODE SER...", CONTROLES.

    I - Fala de CONTROLES que PODEM SER aplicados... ou seja, 27002 - (apesar de parte da 27002 estar dentro da 27001 como anexo)
    II - Fala da norma que especifica REQUISITOS... ou seja, 27001
    III - Fala da norma que define REQUISITOS... 27001
    IV - Já começa com "CONVÉM..." ou seja, 27002

    respota d)

    Em outras questões a análise deve ser um pouco mais sutil, pois grande parte da 27002 está explicita na 27001.