SóProvas

ID
770782
Banca
CESPE / CEBRASPE
Órgão
Banco da Amazônia
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue o item a seguir:


A norma referida recomenda que se realizem treinamento, educação e conscientização de pessoas apenas antes da contratação, para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles.

Alternativas
Comentários
  • "Conscientização, educação e treinamento em segurança da informação" é um dos 7 controles considerados práticas para a segurança da informação, os outros são:
    (1) Documento da Política da Segurança da Informação
    (2) Atribuição de Responsabilidades para a Segurança da Informação
    (3) Conscientização, Educação e Treinamento em Segurança da Informação
    (4) Processamento Correto das Aplicações
    (5) Gestão das Vulnerabilidades Técnicas
    (6) Gestão da Continuidade do Negócio
    (7) Gestão de Incidentes de Segurança da Informação e Melhorias
    Segundo a 27002, para o controle Conscientização, Educação e Treinamento em Segurança da Informação convém que  "Todos os funcionários da organização e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriado em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais relevantes para as suas funções" e isso é realizado  durante a contratação. Gabarito "E".
  • 8.2.2 Conscientização, educação e treinamento em segurança da informação.
    Controle
    Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em concientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para suas funções.
    Fonte: NBR ISO 27002

    Como podem ver, "atualizações regulares" deixa claro que o processo precisa ser atualizado, é contínuo e não apenas antes da contratação. 
  • Conscientização, educação e treinamento em segurança da informação fica na seção 8.2 da norma, que trata da segurança de recursos humanos durante a contratação.

    bons estudos.

  • Atualizando os comentários com embasamento na ISO 27002 - 2013.

    7.2 Durante a contratação

    Objetivo: Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação.

    7.2.2 Conscientização, educação e treinamento em segurança da informação

    Controle: Convém que todos os funcionários da organização e, onde pertinente, partes externas devem recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.