SóProvas

ID
638254
Banca
FUMARC
Órgão
PRODEMGE
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Analise as seguintes afrmativas sobre gestão de segurança da informação:
I. A lei Sarbanes-Oxley visa garantir a transparência na gestão fnanceira das organizações e a credibilidade de suas informações.

II. A norma ISO/IEC 27001 foi elaborada para prover um modelo de sistema de gestão de segurança da informação (SGSI) e também para avaliar a conformidade deste pelas partes interessadas internas e externas.

III. A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um sistema de gestão de segurança da informação (SGSI).
Assinale a alternativa VERDADEIRA:

Alternativas
Comentários
  • Sobre as normas:

    ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como ISO 27001[1].
     

    Seu objetivo é ser usado em conjunto com ISO/IEC 17799, o código de práticas para gerência da segurança da informação, o qual lista objetivos do controle de segurança e recomenda um conjunto de especificações de controles de segurança. Organizações que implementam um ISMS de acordo com as melhores práticas da ISO 17799 estão simultaneamente em acordo com os requisitos da ISO 27001, mas uma certificação é totalmente opcional.

  • A ISO 27001 especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negócio globais da ogranização. Especifica requisitos para a implementação de controles de segurança customizados para as necessidades individuais de organizações ou partes.

    A ISO 27002 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

    Destarte, pode se afirmar que o comentário anterior é impreciso, ou mesmo equivocado, ao dizer que o objetivo de uma é ser usado em conjunto com a outra.

    A ligação entre as duas normas é feita a partir do item 4.2.1 Estabelecer o SGSI, mais precisamente nas alíneas f e g.
    4.2.1 f) Identificar e avaliar as opções para o tratamento de riscos
    1) Aplicar os controles apropriados
    4.2.1 g) Selecionar objetivos de controle e controles para o tratamento de riscos

    Há que se ressaltar que os controles não são mandatórios, nem exaustivos. A ideia é que sejam um ponto de partida de forma a assegurar que nenhuma opção de controle importante seja negligenciada. No entanto, tais controles são aqueles comumente considerados relevantes para as organizações.
  • 27001 Requisitos de um Sistema de gestão de segurança da informação. SE PRESA A CERTIFICAÇÃO. Adota o modelo Plan-Do-Check-Act.
    27002
    (Antiga 17799)    		 Código de boas práticas para implementação da Segurança da informação.
    27003 Diretrizes para implementação.
    27004 Métricas e Medições.
    27005 Gestão de riscos.
    27006 Auditoria de um SGSI.

  • O item III seria a ISO 27004 – Guia p/ Avaliar a eficácia dos controles? Estou certo?

  • Quem sugere as métricas é a ISO 27004 !
    Logo a alternativa correta nesse caso é a alternativa A)

  • A questão estava cheia de erros ortográficos mesmo?