ID 647629 Banca FCC Órgão TCE-AP Ano 2012 Provas FCC - 2012 - TCE-AP - Analista de Controle Externo - Tecnologia da Informação Disciplina Segurança da Informação Assuntos Plano de Continuidade de Negócios Com relação ao Plano de Continuidade de Negócio é INCORRETO afirmar: Alternativas Deve ser elaborado um Plano de Continuidade de Negócio que possibilite que a organização funcione em um nível aceitável para sua sobrevivência e absorva possíveis impactos financeiros, operacionais e de imagem O desenvolvimento do Plano de Continuidade de Negócio deve ser específico para cada organização, pois deve ser baseado em uma análise de impacto no negócio caso ocorra uma indisponibilidade dos recursos de informação. A alta administração e os acionistas da organização não precisam conhecer e aprovar as ameaças e riscos que estão fora de cada versão do Plano de Continuidade de Negócio, pois esses aspectos são definidos e homologados pela gerência de TI. O Plano de Continuidade de Negócio deve ser eficiente/eficaz, mantido atualizado e testado periodicamente com a participação de todos os envolvidos. Seu objetivo é o planejamento de ações para serem executadas quando da ocorrência de uma situação de contingência, de maneira a garantir que a organização mantenha suas atividades críticas em um nível previamente definido pela área de negócio e direção como aceitável. Responder Comentários Conforme ISO 27005: A alta direção deve estabelecer e demonstrar comprometimento com a política de GCN. A política deve ser aprovada pela alta direção; A alta direção deve: - Apontar ou nomear uma pessoa com autoridade e experiência suficientes para ser responsável pela implementação e política de GCN; - Apontar uma ou mais pessoas, que sejam responsáveis pela implementação e manutenção do SGCN independentemente de outras responsabilidades. A alta direção deve definir o escopo do programa de GCN por meio da identificação dos produtos e serviços fundamentais que suportam os objetivos, obrigações e deveres estatutários da organização. A participação da alta direção é fundamental para garantir que o processo de GCN seja parte da cultura da organização. Convém que a alta direção aprove a lista que documenta os principais produtos e serviços, a BIA e a avaliação de riscos; Convém que a alta direção aprove as estratégias que foram documentadas. Convém que a alta direção da organização, à intervalos que considerar apropriados, analise criticamente a capacidade de GCN da organização. Só uma pequena retificação ao comentário do colega acima:Segundo a NBR 15999.A 27005 é sobre a Gestão de Riscos. Complemento para justificar o erro da "C".Segundo a ISO 15999-1, 5 GESTÃO DO PROGRAMA DE GCN, "A participação da alta direção é fundamental para garantir que o processo de GCN seja corretamente introduzido, suportado e estabelecido como parte da cultura da organização." Regra Geral: quando se fala em Gestão de Riscos ou Plano de Continuidade de Negócios não deve excluir ninguém. Segundo o guia de segurança da informação do TCU, "3.6 Qual o papel da alta administração na elaboração do PCN? É imprescindível o comprometimento da alta administração com o Plano de Continuidade do Negócio. Na verdade, este Plano é de responsabilidade direta da alta administração, é um problema corporativo, pois trata de estabelecimento de procedimentos que garantirão a sobrevivência da instituição como um todo e não apenas da área de informática. Ainda, muitas das definições a serem especificadas são definições relativas ao negócio da instituição e não à tecnologia da informação." Vamos ajudar a galera que estuda gente. Comentem o gabarito... Gabarito letra c)