SóProvas

ID
770716
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere aos objetivos de controle, contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes.


Conforme prevê a norma em apreço, em acordo com terceiros referente à aquisição de produtos de TI, dispensa-se o controle do SGSI no que diz respeito a segurança da informação.

Alternativas
Comentários
  • Segundo o anexo A da iso 27001 na parte de controle:

    Controle
    Os acordos com terceiros envolvendo o acesso,
    processamento, comunicação ou gerenciamento dos recursos
    de processamento da informação ou da informação da
    organização, ou o acréscimo de produtos ou serviços aos
    recursos de processamento da informação devem cobrir todos
    os requisitos de segurança da informação relevantes.
  • Mesmo se você não soubesse esta regra de cabeça seria possível resolver a questão.

    É só pensar:
    Adquiri algo de terceiro para minha empresa de TI, correrei muito risco se não fizer nenhum controle de segurança em relação a esse novo item.

    abrasss
  • Errado.
     
    Seção 8 - Segurança em Recursos Humanos:
    • No caso de desenvolvimento de software por mão-de-obra terceirizada, é necessário estabelecer controles adicionais para testar e detectar, antes da instalação desse software, a presença de código troiano.
  • ABNT NBR ISO/IEC 27001:2006 - ANEXO A

    Lembrando que os objetivos de controle e controles listados na tabela A.1 do anexo A são derivados diretamente e estão alinhados com aqueles listados na ISO/IEC 27002.

    A.10 - Gerenciamento das operações e comunicações

    A.10.2 - Gerenciamento de serviços terceirizados 
    Objetivo: Implementar e manter o nível apropriado de segurança da informação e de entrega de serviços em consonância com acordos de entrega de serviços terceirizados.

    A.10.2.3 Gerenciamento de mudanças para serviços terceirizados 
    Controle 
    Mudanças no provisionamento dos serviços, incluindo manutenção e melhoria da política de segurança da informação, dos procedimentos e controles existentes, devem ser gerenciadas levando-se em conta a criticidade dos sistemas e processos de negócio envolvidos e a reanálise/reavaliação de riscos.