SóProvas

ID
777655
Banca
CESPE / CEBRASPE
Órgão
TRE-RJ
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO/IEC 27001:2006 e ao sistema de gestão de segurança da informação (SGSI), julgue os itens que se seguem.

De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.

Alternativas
Comentários
  • Na norma 27001:2006, seção 4.2.1 Estabelecer o SGSI, não há citação sobre definir o plano diretor de tecnologia da informação, o que deixa a questão ERRADA. 
    O restante está correto. Na mesma seção, contém: c) Definir a abordagem de análise/avaliação de riscos da organização.
  • 4.2 Estabelecendo e administrando o SGSI  4.2.1 Estabelecer o SGSI a) Definir o escopo e limites do SGSI nos termos das características do negócio, a organização, sua localização, recursos, tecnologia, e incluindo detalhes ou justificativas para qualquer exclusão do escopo (ver 1.2); 
    b) Definir uma política de SGSI nos termos das características do negócio, a organização, sua localização, recursos e tecnologia
    c) Definir a estratégia de avaliação de risco da organização;  d) Identificar os riscos;  e) Analisar e avaliar os riscos;  f) Identificar e avaliar as opções para o tratamento de riscos;  g) Selecionar objetivos de controle e controles para o tratamento de riscos; uma opção de controle importante é negligenciada.  h) Obter aprovação da Gerência dos riscos residuais propostos;  i) Obter autorização da Gerência para implementar e operar o SGSI; e  j) Preparar uma Declaração de Aplicabilidade. 

  • Além dos ótimos comentários acima, pode se ver o simples erro da questão com a lógica:

    "deve definir o plano diretor de tecnologia da informação"

    Desde quando a S.I. tem que fazer isso? É a própria direção da instituição que define isso sem relacionamento algum com S.I.

  • Provavelmente a questão tentou confundir o candidato ao misturar conceitos da iso 27001 e da instrução normativa no 4. Esta sim determina que seja definido um plano diretor de TI.