Questão Q23447

Question

Segundo a norma ABNT 27001, os sistemas de gest&atilde;o de seguran&ccedil;a da informa&ccedil;&atilde;o (SGSI) devem estabelecer programas de conscientiza&ccedil;&atilde;o e treinamento em seguran&ccedil;a no processo de

Answer

Pegadinha.Veja o item e)Trocaram a palavra implementar por estabelcer só para confundir.4.2.2  Implementar e operar o SGSI   A organização deve: a)  Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5). b)  Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados,  que inclua  considerações de financiamentos e atribuição de papéis e responsabilidades. c)  Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle. d)  Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia  dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)). NOTA  A medição da eficácia dos controles permite aos gestores e à equipe determinar o quanto os controles alcançam de forma satisfatória os objetivos de controle planejados.   e)  Implementar programas de conscientização e treinamento (ver 5.2.2). f)  Gerenciar as operações do SGSI. g)  Gerenciar os recursos para o SGSI (ver 5.2). h)  Implementar procedimentos e outros controles capazes de permitir a  pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação (ver 4.2.3 a)).

Answer

Vamos colocar a fonte pessoal.

Answer

DO (Implementar e Operar)

A organização deve:

formular um plano de tratamento de risco; (cuidado, pois esse item parece fazer parte do PLAN, devido ao termo ''formular''
implementar o plano de tratamento de risco;
implementar os controles selecionados;
definir como medir a eficácia dos controles;
implementar programas de conscientização e treinamento;
gerenciar as operações do SGSI
gerenciar os recursos para o SGSI;
implementar procedimentos e outros controles capazes de permitir a rápida detecção e resposta a incidentes de segurança

Fonte 27002:2005

Answer

Para mim o significado de "Estabelecer" é diferente de "Implementar". Assim, como a ISO/IEC 27.001 diz que na fase Do (Implementar e Operar) de um SGSI deve-se:

" implementar programas de conscientização e treinamento"

Esse fato justificaria a anulação da questão!

Answer

Não entendi!!!

Pra mim todas estão corretas!

olhem essa questão

Ano: 2012

Banca: FCC

Órgão: TRT - 6ª Região (PE)

Prova: Analista Judiciário - Tecnologia da Informação

Resolvi certo

Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para

a

avaliar a necessidade de ações para assegurar que as não conformidades não ocorram.

b

identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.

c

transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores.

d

estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.

e

desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco.

correta: letra D

Answer

A questão aponta para o item 4.2.2 - "Implementar e operar o SGSI", onde está disposto que "A organização deve: e)Implementar programas de conscientização e treinamento."

Nestas questões o bom senso não funciona. Vale o que está escrito na norma.

[]'s

SóProvas

Continue usando...

O que está incluso