SóProvas

ID
613231
Banca
CESPE / CEBRASPE
Órgão
BRB
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Determinada empresa efetuou, de acordo com a norma
ISO/IEC 27002, análise crítica da sua política de segurança,
iniciando-a por uma área específica. Uma equipe interna de
auditoria, composta por pessoas não relacionadas à área objeto
de análise, foi montada especialmente para essa finalidade.

Considerando essa situação hipotética e o que dispõe a referida
norma, julgue os itens a seguir.

Segundo a norma mencionada, as informações de saída geradas pela análise crítica devem conter, entre outras, tendências relacionadas a ameaças e vulnerabilidades, assim como relatos acerca de incidentes de segurança ocorridos na área analisada.

Alternativas
Comentários
  • No item 5.1.2 da Norma 27002 temos que,
    " ...
    Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:
       a) melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;
       b) melhoria dos controles e dos objetivos de controles;
       c) melhoria na alocação de recursos e/ou de reponsabilidades.
    ..."

    Além disso, os itens de saída mencionados na questão são na verdade entradas para a análise crítica.
  • Complementando:
    Segundo a norma mencionada, as informações de saída geradas entrada utilizadas pela análise crítica devem conter, entre outras, tendências relacionadas a ameaças e vulnerabilidades, assim como relatos acerca de incidentes de segurança ocorridos na área analisada.
  • ENTRADAS SAÍDAS
    - Situações de ações preventivas e corretivas;

    - Resultado de análises críticas anteriores feitas pela direção;

    - Tendências relacionadas com as ameaças e vulnerabilidades;

    - Relato sobre incidentes de segurança da informação;    		 - Melhoria do enfoque da organização para gerenciar a SI e seus processo;
     
    - Melhoria dos controles e dos objetivos de controles;
     
    - Melhoria na alocação de recursos;
     

  • Resumindo...

    Análise critica recebe "PROBLEMAS" como ENTRADA e fornece "MELHORIAS" como SAÍDA. 

  • Prezados,

    Conforme a norma ISO 27002, 
    " Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política
    de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da
    informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às
    condições legais, ou ao ambiente de tecnologia. "

    Em resumo , a análise crítica da política de segurança da informação é algo mais alto nível, a norma fala nada sobre detalhes de relatos de incidentes de segurança ocorridos na área. 

    Portanto a questão está errada.