SóProvas

ID
726973
Banca
INSTITUTO CIDADES
Órgão
TCM-GO
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Uma política de segurança da informação possui como objetivo prover orientação e apoio da direção para a segurança da informação de acordo com os requisitos de negócio e com as leis e regulamentações pertinentes. Não pode ser considerada uma diretriz para a implementação do documento da política de segurança da informação:

Alternativas
Comentários
  • Alguém poderia comentar por que o item A está incorreto.
  • A segurança da informação pode ser atinginda seguindo um conjunto de controles, que estão elencados na norma ISO 27002. Entre os vários controles estão o "Documento da política de segurança da informação" dentro do objetivo de controle "Política de Segurança da Informação", e o controle "Recomendações para classificação" dentro do objetivo de controle "Classificação da Informação". Classificação não é um requisito para a definição da Política de Segurança da Informação, mas é uma recomendação para implantar e gerenciar um Sistema de Gestão de Segurança da Informação. Os controles presente na norma 27002 não necessariamente estarão elencados na política de segurança da Informação.
  • Discordo que o item A está incorreto:

    Segundo Claudia Dias (Dias, 2000), diferentes tipos de informação devem ser protegidos de diferentes maneiras. Por isso a classificação das informações é um dos primeiros passos para o estabelecimento de uma política segurança de informações. Uma vez classificada a informação, a política pode definir como tratá-la de acordo com sua classe, escolhendo mecanismos de segurança ais adequados.

  • A questão se baseou na seção 5 da norma ISO 27002.

    Segundo a ISO 27002,"5.1.1 Documento da política de segurança da informação

    Convém que o documento da política contenha declarações relativas a:

    a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução);

    b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;

    c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

    d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:1) conformidade com a legislação e com requisitos regulamentares e contratuais; 

    2) requisitos de conscientização, treinamento e educação em segurança da informação;

    3) gestão da continuidade do negócio;

    4) conseqüências das violações na política de segurança da informação;

    e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;

    f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir."

    **Como a alternativa "A" NÃO se encontra entre essas alternativas, a banca a considerou errada. Entretanto a questão "A" É CERTA, mas se refere a seção 7 da norma.  

  • Eu raciocinei que o item A estava errado porque o comando da questão fala em DIRETRIZ, ou seja, remete à ideia de uma coisa AMPLA, GENÉRICA. No caso, o item A é o mais específico.

  • A alternativa A está incorreta porque ela não se enquadra na seção 5 da norma ISO 27002, a seção 5 especifica:
    "    5.1.1 Documento da política de segurança da informação" e inicia-se com o texto: "Convém que o documento da política contenha declarações relativas a:"

    Este disposto foi considerado correto e suficiente para eliminar a alternativa "A" do escopo de alternativas corretas.
    Fora deste contexto falho em ver outra possibilidade. Complementos são bem-vindos.

  • A alternativa 'A' está incorreta, pois se refere a outra seção da norma ISO 27002, que trata a Gestão de Riscos, quando,na verdade, esta questão nos pede diretrizes da seção 5, que trata da política de segurança da informação. Portanto, este é o erro, mas apesar disso a alternativa 'A' possui uma descrição válida e correta conforme a norma em apreço.

    Segundo a ISO 27002,"

    7 Gestão de ativos

    7.1 Responsabilidade pelos ativos

    7.1.2 Proprietário dos ativos

    Convém que o proprietário do ativo seja responsável por:

    a) assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam adequadamente classificados;

    "

  • Questão para eliminar candidato mesmo ...