SóProvas

ID
531781
Banca
FESMIP-BA
Órgão
MPE-BA
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ABNT NBR ISO/IEC 27002, pode-se afirmar que:

Alternativas
Comentários
  • a) A norma ABNT NBR ISO /IEC 27002 determina um esquema específico para a classificação dos ativos da informação, com base em quatro classes de segurança.
    Errado. Convém que a informação seja classificada em termo de seu valor, requisitos legais, sensibilidade e criticidade da informação.
    A norma não fala em classes de segurança.

    c) A segurança no descarte de equipamentos de computação e a comunicação seguem as recomendações de normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma ABNT NBR ISO /IEC 27002.
    Errada. A segurança de descarte de equipamento segue recomendações previstas na norma 27002. No item 10 - Gerenciamento das operações e comunicações
    Item 10.7.2 - descarte de mídias. 

    d) A importância dos ativos, seu valor para o negócio e a sua classificação de segurança determinam se o ativo da informação deve ser inventariado.
    Errado. Deve ser protegido e a proteção adequada.

    e) Todos os funcionários, estagiários e terceiros devem seguir as regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, sendo que, para os fornecedores, essas regras devem estar explicitadas em cláusulas contextuais específicas.
  • alguém sabe me dizer pq a letra E está errada? Obrigada
  • Também queria saber o erro da letra E.
  • A norma 27002 não fala em nenhum momento que as regras para acesso a informações e de ativos devem estar explicitadas em cláusulas contextuais específicas.

  • Senhores. Referente a alternativa E, está incorreta, pois a norma ISO 27002 fala de termo de confidencialidade.

     

    Na seção 2.6 Segurança em Recursos Humanos.

    no 1º objetivo desta - ANTES DA CONTRATAÇÃO - Assegurar que funcionários e partes externas (que neste caso seria os fornecedores) entendem suas responsabilidades e estão em conformidade com os papéis para os quais eles foram selecionados..

    E no 2º controle deste objetivo temos:

    "Convém que as obrigações contratuais com funcionários e partes externas reflitam as políticas para a segurança da informação da organização, eclarecendo e declarando, dentre outros.

    a)Termo de confidencialidae e não divulgação para funcionários, fornecedores e partes externas.

    [...]"

     

    A questão está incorreta pois diz que somente fornecedores possuem cláusulas contratuais de segurança da informação, o que não é verdade. Funcionários também possuem estas cláusulas.

    É só pegar em exemplos de vida real. Muitas empresas principalmente as de TI, há cláusulas contratuais do funcionários e estagiários para se não divulgar informações sigilosas.

  • Erro da letra D...

     

    A norma diz: Convém que os ativos associados com informação e com os recursos de processamento da informação sejam identificados e um inventário destes ativos seja estruturado e mantido. 

     

     

    Ou seja, vc não precisa inventariar todos os ativos, somente os que estão associadas com.....