GABARITO B
Seção 10 – Gestão das Operações e Comunicações
É importante que estejam definidos os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações. Além disso, deve-se utilizar sempre que necessária a segregação de funções (recomenda-se que uma pessoa realize uma ou algumas partes de um processo, mas não todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.
Procedimentos para a geração de cópias de segurança e sua recuperação também devem ser estabelecidos.
Seção 8 – Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.
http://micreiros.com/norma-nbr-isoiec-27002/
✅Gabarito(B)
Nota: O termo "Gerenciamento de operações e comunicações" não está definido na norma mencionada na questão de forma explícita como acontece com o termo "Segurança em Recursos Humanos".
12 Segurança nas operações
12.1 Responsabilidades e procedimentos operacionais
Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
Diretrizes para implementação
Convém que os procedimentos documentados sejam preparados para as atividades operacionais associadas a recursos de processamento de comunicação e informações, como procedimentos de inicialização e desligamento de computadores, geração de cópias de segurança (backup), manutenção de equipamentos, tratamento de mídias, segurança e gestão do tratamento das correspondências e das salas de computadores.
12.3.1 Cópias de segurança das informações
Controle
Convém que cópias de segurança das informações, dos software e das imagens do sistema sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida.
13 Segurança nas comunicações
13.1 Gerenciamento da segurança em redes
13.1.1 Controles de redes
Diretrizes para implementação
convém que responsabilidades e procedimentos sobre o gerenciamento de equipamentos de rede sejam estabelecidos;
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
7 Segurança em recursos humanos
7.1 Antes da contratação
7.1.1 Seleção
Controle
Convém que verificações do histórico sejam realizadas para todos os candidatos a emprego, de acordo com a ética, regulamentações e leis relevantes, e seja proporcional aos requisitos do negócio, aos riscos percebidos e à classificação das informações a serem acessadas.
Diretrizes
Convém que um processo de seleção também seja feito para fornecedores e partes externas.
7.1.2 Termos e condições de contratação
Diretrizes
Todos os funcionários, fornecedores e partes externas que tenham acesso a informações sensíveis assinem um termo de confidencialidade ou de não divulgação, antes de lhes ser dado o acesso aos recursos de processamento da informação.
Fonte: ABNT NBR ISO/IEC NORMA BRASILEIRA © ISO/IEC 27002 2013