ID 781624 Banca CESPE / CEBRASPE Órgão TJ-AL Ano 2012 Provas CESPE - 2012 - TJ-AL - Analista Judiciário - Análise de Sistemas Disciplina Segurança da Informação Assuntos Norma ISO 27001 Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação. Alternativas O sistema de gestão da segurança da informação (SGSI), componente do sistema de gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoramento da segurança da informação. Gestão de riscos consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco. Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação. O incidente de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como confidencial. Responder Comentários Praticamente um copy + paste do item 3.7 da norma 270013.7sistema de gestão da segurança da informaçãoSGSIa parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar,operar, monitorar, analisar criticamente, manter e melhorar a segurança da informaçãoNOTA O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades,práticas, procedimentos, processos e recursos.3.8.... Acertei a questão, mas fiquei com dúvida entre a A, B e C, em relação a definição de evento:Item B - Gestão de risco é bem mais abrangente, incluindo também essa atividade descrita (negrito). seção 7 – definição do contexto seção 8 – análise/avaliação de riscos identificação de riscos estimativa de riscos avaliação de riscos seção 9 – tratamento do risco seção 10 – aceitação do risco seção 11 – comunicação do risco seção 12 – monitoramento e análise crítica de riscosEvento de segurança da informação– Ocorrência identificada de um sistema, serviço ou rede que indica uma possível violação da política de segurança da informação ou falhas de controleou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.Ou seja, tem de ser identificado e não necessáriamente precisa ameaçar a seg. da informação, basta apenas que seja relevante. A letra "C" fala sobre incidente de segurança e não evento. No item b) o correto:.13 avaliação de riscos processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco b) Gestão de riscos Avaliação consiste no processo de comparar o risco estimado com os critérios de risco predefinidos, a fim de determinar a importância do risco. c) Evento Incidente de segurança da informação é um evento (ou uma série de eventos) que ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e ameaçar a segurança da informação. d) O incidente Evento de segurança da informação consiste em um incidente que, caso seja identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível violação da política de segurança da informação, bem como de uma falha de controles ou de uma situação previamente desconhecida que possa ser relevante à segurança da informação