SóProvas

ID
770770
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos, mas não devem fazer parte do documento da política em si.

Alternativas
Comentários

  • O conteúdo da PSI (Política de Segurança da Informação) varia, de organização para organização, em função de seu estágio de maturidade, grau de informatização, área de atuação, cultura organizacional, necessidades requeridas, requisitos de segurança, entre outros aspectos. No entanto, é comum a presença de alguns tópicos na PSI, tais como:
     

    ? definição de segurança de informações e de sua importância como mecanismo que possibilita o compartilhamento de informações;

    ? declaração do comprometimento da alta administração com a PSI, apoiando suas metas e princípios;

    ? objetivos de segurança da organização;
    ? definição de responsabilidades gerais na     gestão de segurança de informações;

    ? orientações sobre análise e gerência de riscos;

    ? princípios de conformidade dos sistemas computacionais com a PSI;

    ? padrões mínimos de qualidade que esses sistemas devem possuir;

    ? políticas de controle de acesso a recursos e sistemas computacionais;

    ? classificação das informações (de uso irrestrito, interno, confidencial e secretas);

    ? procedimentos de prevenção e detecção de vírus;

    ? princípios legais que devem ser observados quanto à tecnologia da informação (direitos de propriedade de produção intelectual, direitos sobre software, normas legais correlatas aos sistemas desenvolvidos, cláusulas contratuais);

    ? princípios de supervisão constante das tentativas de violação da segurança de informações;

    ? conseqüências de violações de normas estabelecidas na política de segurança;

    ? princípios de gestão da continuidade do negócio;

    ? plano de treinamento em segurança de informações.

  • Conforme NBR/ISO 27002:2005 :

    5 Política de segurança da informação

    5.1.1 Documento da política de segurança da informação

    Convém que o documento da política contenha declarações relativas a (...)

    4) conseqüências das violações na política de segurança da informação;

  • Documento da política de segurança de informações - ISO 27002

    Um documento com a política deve ser aprovado pela gerência, publicado e divulgado, conforme apropriado, para todos os empregados e partes interessadas. Ele deve declarar o comprometimento da gerência e estabelecer a abordagem da organização quanto à gestão da segurança de informações. No mínimo, convém que a seguinte orientação deva ser incluída:

    c) uma breve explanação das políticas, princípios e padrões de segurança e das exigências a serem obedecidas que são de particular importância para a organização, por exemplo:

         1) obediência às exigências legislativas e contratuais;
         2) necessidades de educação (treinamento) para segurança;
         3) prevenção e detecção de vírus e outros softwares prejudiciais;
         4) gerenciamento da continuidade do negócio;
         5) consequências das violações da política de segurança;