SóProvas

ID
644362
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases

Alternativas
Comentários
  • Plan (planejar) (estabelecer o SGSI) Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
     
    Do (fazer) (implementar e operar o SGSI)
    Implementar e operar a política, controles, processos e procedimentos do SGSI.
     
    Check (checar) (monitorar e analisar criticamente o SGSI)
    Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do
    SGSI e apresentar os resultados para a análise crítica pela direção.
     
    Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.
  • Item 4.2.3 - Monitorar e analisar criticamente o SGSI - da norma 27001:2006.

    A organização deve:

    c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendido.

    Conforme modelo PDCA, este item refere-se ao C (Check).
  • Nesse assunto ocorrem muitas confusões e pegadinhas das bancas.

    4.2.2 Implementar e operar o SGSI 

    A organização deve:

    d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c))

    4.2.3 Monitorar e analisar criticamente o SGSI 
     
    A organização deve:

    c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.

    Como podem notar, na etapa de Implementar e Operar, ocorre a DEFINIÇÃO DE COMO medir a eficácia. Já na etapa de Monitorar e Analisar Criticamente ocorre a medição da eficácia propriamente dita.

    Como a questão fala apenas em medir, realmente ocorre no Monitorar e Analisar Criticamente.
     

  • Complementando o comentário do colega André Veras:

    Sobre a utilização dos controles (abordados na ISO 27002), a ISO 27001 faz o seguinte:


    Estabelecer:

    Seleciona os objetivos de controle e os controles.


    Implementar e Operar:

    Implementa e define como medir a eficácia dos controles.


    Monitorar e analisar criticamente:

    Mede a eficácia dos controles.

  • Memorização:

     

    E IO MA MM

     

    Plan -  Estabelecer - Objetivos, processos e os procedimentos do SGSI

    Do - Implementar e Operar - política, os procedimentos, controles e processos do SGSI

    Check - Monitorar e Analizar - realizar auditorias e Medir o desempenho dos processos

    Act - Manter e Melhorar - com ações corretivas e preventivas o SGSI.

  • As principais fases de um sistema de informação são:

    - Levantamento de requisitos

    - Desenvolvimento de sistemas de informação

    - Testes a sistemas de informação

    - Implementação de Sistemas de informação

    - Manutenção de sistemas de informação

    - Gestão de sistemas de informação

    - Avaliação de sistemas de informação