SóProvas

ID
646213
Banca
FCC
Órgão
TJ-PE
Ano
2012
Provas
Disciplina
Governança de TI
Assuntos

Sobre o SSE-CMM é correto afirmar:

Alternativas
Comentários
  • a) É indicado apenas para a elaboração de processos de gestão de segurança. (ERRADA)
    O modelo pretende ser usado como:
    - ferramenta para organizações de engenharia avaliarem as práticas de engenharia de segurança e definir melhorias para essas práticas.
    - mecanismo padrão para clientes avaliarem as capacidades de engenharia de segurança de um provedor.
    - base para avaliar organizações de engenharia de segurança (por exemplo, certificadores de sistemas e avaliadores de produtos) para estabelecer a capacidade da organização baseada em confiança (como um ingrediente para assegurar a segurança de sistemas ou projetos)

    b) Descreve todas as características dos processos que devem existir em uma organização para assegurar uma boa segurança de sistemas, mas não define níveis de maturidade para os processos. (ERRADA)

    O próprio modelo tem maturidade no nome... System Security Engineering - Capability Maturity Model. Já no primeiro capítulo do documento (1. Background ) há a seguinte afirmação:

    "Within the ITS domain the SSE-CMM® Model is focussed on the processes used to achieve ITS, most specifically on the maturity of those processes."
    c) Estão sendo identificadas e estudadas as métricas de processo e de segurança. (CORRETA)

    Com relação ao uso da SSE-CMM, os seguintes tipos de métricas estão sendo identificadas e estudas:
    - métricas de processo
    - métricas de segurança

    d) Foi criado para ser aplicado apenas no desenvolvimento de projetos de software.  (ERRADA)


    Se aplica para desenvolvimento de produtos seguros, desenvolvimento de sistemas seguros e integradores, e organizações que provem serviços de segurança e de engenharia de segurança.

    e) Aplica-se apenas a pequenas e médias organizações privadas que possuem um número reduzido de processos.  (ERRADA)
    Se aplica a todos os tipos e tamanhos de organização de engenharia de segurança, tais como comerciais, governamentais ou acadêmicas.

    Fonte:     http://www.sse-cmm.org/model/model.asp

  • Fui só na eliminação aliado de um conhecimento mundano. rsrsss

  • Capacitação   Processo

    Nível 0 – ad-hoc

    Nível 1 – Executado   Satisfaz todas as metas específicas de sua área de processo.

    Nível 2 – Gerenciado   É planejado e executado.

    Nível 3 – Definido   É gerenciado e adaptado a partir de padroes da organização.integração

    Nível 4 – Gerenciado Quantitativamente   definido e controlado (técnicas estatísticas e outros métodos quantitativos)

    Nível 5 – Otimizado   Quantitativamente gerenciado e focado na melhoria contínua de desempenho.