SóProvas

ID
770683
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação


De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis por eles.

Alternativas
Comentários
  • 1. Objetivo
    1.2 Aplicação
    "Qualquer exclusão de controlesconsiderados necessários para 
    satisfazer aos critérios de aceitação de riscos precisa ser justificadae 
    as evidências de que os riscos associados foram aceitos pelas pessoas 
    responsáveis precisam ser fornecidas. "

    27001
  • A norma no item 1.2 Aplicação diz que "... a exclusão de qualquer controles considerados necessários para satisfazer critérios de aceitação precisa ser justificada e as evidências que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas..."

    Como o item não menciona os controles e sim os critérios de aceitação dos riscos fiquei em dúvida e pensei assim:

    Item 4.2.1 c - afirma que é um requisito da norma "desenvolver critérios de aceitação de riscos..."
    e voltando no 1.2 - a norma afirma que "qualquer exclusão dos requisitos ... não é aceitável quando reivindicado a conformidade com a norma"

    Logo não interpretei como a exclusão do requisito possa ser justificada ou precise ser justificada, pois simplesmente não serão aceitos os pedidos de conformidade, mas se esse não é o objetivo a organização pode ter seu próprio SGSI da maneira que achar melhor.

    Se alguém puder contribuir...


  • Marquei ERRADO sem pensar, pois a questão falou sobre "qualquer critério de aceitação dos riscos" e não "controle dos riscos"
    Faz parte
  • Essa questão concerteza cabe recurso, pois o texto é claro "1.2 Aplicação...Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação" .   Meus amigos, os critérios de aceitação são os requisitos e estes não podem ser excluídos em hípotese alguma. Para que a organização reivindique a certificação é necessário estar em conformidade com todos os requisitos que a Norma estabelece. Logo a questão está ERRADA.

  • Prezados ,

    Segundo a ISO 27001, ao estabelecermos o SGSI , devemos definir uma abordagem de análise/avaliação de riscos da organização, e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco ( página 5 ) .

    A norma também fala que qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.

    O que a questão quis fazer foi confundir o candidato, pois segundo a norma a exclusão de qualquer REQUISITO não é aceitável, enquanto a exclusão de controles e critérios de aceitação dos riscos, é aceitável desde que justificada e devidamente aprovada.


    a alternativa correta é : CERTO.

  • Achei que a questão estivesse errada.

  • Realmente não vejo como critérios de aceitação podem ser excluídos, uma vez que aceitar o risco e, por sua vez, excluir o controle, eu devo ter um critério estabelecido para tal, acredito eu.