SóProvas

ID
770704
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

A documentação de um SGSI é um item de grande importância no processo, pois contém informações sobre todo o processo. Essa documentação é composta, entre outras, pela declaração da política e dos objetivos do SGSI, de seu escopo e dos procedimentos e controles que apoiam o SGSI.

Alternativas
Comentários
  • Segundo a norma:

    A documentação do SGSI deve incluir:
    a) declarações documentadas da política e objetivos do SGSI;
    b) o escopo do SGSI;
    c) procedimentos e controles que apoiam o SGSI;
    d) uma descrição da metodologia de análise/avaliação de riscos;
    e) o relatório de análise/avaliação de riscos;
    f) o plano de tratamento de riscos;
    g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles;
    h) registros requeridos por esta Norma; e
    i) a Declaração de Aplicabilidade.

  • Gabarito Certo

    Documentos e registros obrigatórios requeridos pela ISO 27001:2013

     

    Aqui estão os documentos que você precisará produzir se quiser estar em conformidade com a ISO 27001: (Por favor note que documentos do Anexo A são obrigatórios apenas se existirem riscos que requeiram a implementação deles.)

    Escopo do SGSI (cláusula 4.3)

    Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)

    Metodologias de análise e avaliação de risco e de tratamento de risco (cláusula 6.1.2)

    Declaração de aplicabilidade (cláusula 6.1.3 d)

    Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)

    Relatório de levantamento de riscos (cláusula 8.2)

    Definição de papéis e responsabilidades pela segurança (cláusulas A.7.1.2 e A.13.2.4)

    Inventário de ativos (cláusula A.8.1.1)

    Uso aceitável de ativos (cláusula A.8.1.3)

    Política de controle de acesso (cláusula A.9.1.1)

    Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)

    Princípios da engenharia de segurança de sistemas (cláusula A.14.2.5)

    Política de segurança para fornecedores (cláusula A.15.1.1)

    Procedimento para a gestão de incidentes (cláusula A.16.1.5)

    Procedimentos de continuidade de negócio (cláusula A.17.1.2)

    Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

    E aqui estão os registros obrigatórios:

    Registros de treinamento, habilidades, experiências e qualificações (cláusula 7.2)

    Resultados de monitoramento e medição (cláusula 9.1)

    Programa de auditoria interna (cláusula 9.2)

    Resultados de auditorias internas (cláusula 9.2)

    Resultados de análises críticas pela direção (cláusula 9.3)

    Resultados de ações corretivas (cláusula 10.1)

    Registros de atividades de usuários, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !