-
ISO 27001
1. Objetivos
O SGSI é projetado para assegurar a seleção de controles adequados e proporcionados para proteger os ativos da organização e propiciar segurança às partes interessadas.
-
O erro estaria em dizer que a implementação de objetivos de controle não garante o atendimento dos requisitos, uma vez que isso é um objetivo da norma.
-
Também existe erro na afirmação de que implementação é de responsabilidade do SGSI, pois de acordo com a norma em apreço, a implementação é de responsabilidade da organização.
4 – SGSI
4.2 Estabelecendo e gerenciando o SGSI
4.2.2 Implementar e operar o SGSI
A organização deve:
.......
c) Implementar
os controles selecionados para atender aos objetivos de controle.
.......
-
A norma que estabelece diretrizes e princípios para a segurança da informação é a 27002. Os requisitos de segurança da informação são atendidos através da aplicação de controles e a implementação é de responsabilidade da organização, e não do SGSI.
-
Errado, a norma 27001 estabelece o modelo.
-
Ano: 2012
Banca: CESPE
Órgão: TRE-RJ
Prova: Analista Judiciário - Análise de Sistemas
Resolvi errado
texto associado
Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.
A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma.
errraaadaaa
-
"A norma em apreço estabelece diretrizes e princípios para a segurança da informação, (...)": 1. OBJETIVO: Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de
segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais
sobre as metas geralmente aceitas para a gestão da segurança da informação.
"(...) no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação, (...)": Na minha opinião, está ok essa afirmação! Por mais que os controles sejam selecionados para atender os requisitos, você não tem garantia que eles foram escolhidos adequadamente ou mesmo que a organização possui competência/maturidade para aplicar eles de maneira correta e garantir os requisitos de SI.
"(...) pois a implementação é de responsabilidade do SGSI": O SGSI é um sistema de gestão, que possui vários procedimentos documentados e controles (PLAN-DO-CHECK-ACT). Ele fala dos requisitos para implementação, mas quem implementa de fato é a organização.
-
Para matar de vez a questão:
ISO 27002
6.1.1 Responsabilidades e papéis pela segurança da informação
PG. 11 "Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles.
Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecerá com os gestores individuais."
-
É plenamente possível utilizar as boas práticas de controle em segurança da informação, as quais são escopo da 27002/2013, sem que se implemente um SGSI (escopo da 27001/2013). Isso é notável pela ordem de criação das referidas normas, onde 27002, antiga BS 7799 parte 1 e posteriormente ISO/IEC 17999, foi criada antes da 27001 (BS 7799 parte 2).