SóProvas

ID
480175
Banca
FCC
Órgão
INFRAERO
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

A norma ISO/IEC 27001:2006 trata

Alternativas
Comentários

  • A) Quem trata da gestão de riscos é a 27005

    B) Quem fala de métrica, diretrizes e etc são as disciplinas de gestão de TI ( CMMI, Cobit, etc ). A ISO que faça em medição é a 27004, ISO que eu nunca li e não sei se traz essas descrições. Já a ISO 27007 trata sobre diretrizes para auditoria de SGSI ( no que tange a auditorias internas).

    C) ISO 27006 é quem trata de requisitos para corpo de auditoria e certificação de SGSI's.

    D) A redação ficou um tanto quanto exdrúxula, mas deu a entender que o examinador quis dizer da 27002, que de certa forma consta no Anexo A da 27001. Esta seria a única alternativa, na minha visão, que poderia levar a dúvida, mas diante da alternativa E, esta se torna a "menos" correta.

    E) Alternativa "mais" correta. Aliás, qdo se fala em PDCA, é a única norma da família 27000 que faz uso do PDCA. PS: ISO 27002 também faz uso do PDCA porém só na parte 2, ou seja, não usa na sua totalidade. O mesmo acontece na 15999

  • Na página v da Introdução da Norma tem essa frase:
    "Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI."
    Portanto, letra E.
  • Concordo com os comentários, mas o enunciado da questão menciona trata. Na minha visão está muito ambígua. No meu entendimento a norma  27001 trata do sistema de gestão de segurança da informação (SGSI) utilizando-se do PDCA como metodologia norteadora para o seu desenvolvimento e implantação. De acordo com o enunciado, dá a entender que o foco da norma é o PDCA e isso não é verdade.

    Enfim, sigamos na luta para entender o que a banca quer dizer nos enunciados.

    Bons Estudos!

  • Bem eu marquei a "B" justamente pensando como o colega anterior. Pra mim seria a "menos errada"....(pois certa ao meu ver nenhuma está)

    A norma ISO 27001 não trata do PDCA! Trata sim dos requisitos para prover um modelo que estabeleça, Implemente, opere, Monitore, analise criticamente, mantenha e melhore um SGSI.. inclusive isso esta na introdução da norma!

    Ela USA o PDCA mas falar que ela TRATA o PDCA é d+

    a FCC nem pra copiar e colar presta....
  • Assino em baixo em tudo o q o colega Roberto Araujo disse. E tambem marquei a B.
    Consta na norma 27001:

    "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA mostrado na figura 1.
    (...)
    "Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.(...). A adoção do modelo PDCA também refletirá os princípios como definidos nas Diretrizes da OECD(http://www.oecd.org) para governar a segurança de sistemas de informação e redes. "
    Entao, como o colega citou, a norma nao trata do PDCA. Ela o adota como modelo para estruturar processos do SGSI.
    A forma como a questao e colocada dá a entender q a norma foi feita pra  tratar do PDCA, enquanto ela apenas o adota.
    Baita sacanagem com quem estuda, hem, FCC???
  • Questão mais capiciosa essa! Enunciado completamente inútil. A norma não trata do cico PDCA, ela adota o ciclo PDCA nos seus processos
  • Putz, mas uma questão de adivinhação. Conforme já mencionado pelos cologas, a norma 27001 não TRATA do modelo PDCA, e sim se BASEIA neste modelo para especificar os requisitos de um sistema de SGSI.
  • Questão muito mal elaborada. Vejamos:

    • a) da gestão de riscos em sistemas de gestão da segurança da informação.
    • Errado. É tratado pela ISO/IEC 27005.
    •  b) de requisitos de sistema de gestão da segurança da informação, métricas e medidas, e diretrizes para implementação.
    • Errado. A ISO/IEC 27001 não dá diretrizes para implementação tampouco métricas e medidas, embora, de fato, traga os requisitos. Diz que é preciso antender os requisitos e medir, mas não diz como exatamente. Tal detalhamento fica por conta da 27002, que delineia os objetivos de controle e controles.
    •  c) de requisitos para auditoria e certificação de um sistema de gestão da segurança da informação.
    • Eu a marquei pelo fato do cumprimento dos requisitos trazidos pela 27001 ser a base para certificação e realização de auditorias. Só é certificado que segue todos os requisitos - por isso a norma traz o "DEVE". Todavia, realmente a 27006 é a norma que possui esse foco.  Alternativa dúbia.
    •  d) das recomendações de controles para segurança da informação da antiga ISO/IEC 17799.
    • Recomendações de controle fica, essencialmente, a cargo da 27002. Todavia, cabe ressaltar que a 27001 lista os objetivos de controle em seu anexo A, que é normativo e não meramente informativo. Ou seja, a 27001 também traz textualmente tais controles, embora não os destrinche dizendo como usá-los/aplicá-los. Alternativa dúbia.
    •  e) do modelo conhecido como Plan-Do-Check-Act (PDCA), que é adotado para estruturar todos os processos do sistema de gerenciamento da segurança da informação.
    • Um absurdo! A norma não trata do modelo PDCA, apena utiliza-o. Assim como várias outras o fazem - vide 27005, 14001, etc. Ou será que este tanto de norma veio para abordar o "tão complicado" PDCA!? Ele é usado em quase tudo, afinal de contas! Usado! Não tratado na sua essência.

  • Sem preciosismo, segue um link para elucidar o assunto:

    http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Pages/Planning-for-and-Implementing-ISO27001.aspx


  • "A norma ISO/IEC 27001 trata do PDCA" forçou a barra.....

  • Eu também não concordo com a alternativa considerada correta pela banca. Marquei a letra C.

    Considero que a palavra "requisitos" deveria estar na resposta à pergunta.

    Entretanto, compartilho um trecho que achei interessante, retirado do link "http://advisera.com/27001academy/pt-br/blog/2014/04/15/o-ciclo-pdca-foi-removido-das-novas-normas-iso/":

    "

    [...]

    Aqui está como você pode reconhecer o ciclo PDCA na estrutura das normas ISO:

    - As cláusulas 4 (Contexto da organização), 5 (Liderança), 6 (Planejamento), e 7 (Apoio) não são nada mais do que a fase de planejar;

    - A cláusula 8 (Operações) trata da fase de fazer;

    - A cláusula 9 (Avaliação do desempenho) é, certamente, a fase de verificar; e

    - A cláusula 10 (Melhoria) é a fase de agir.

    [...]

    "

    Autor: Dejan Kosutic


  • Ridículo, tinha que ser FCC