SóProvas

ID
801274
Banca
CESPE / CEBRASPE
Órgão
MEC
Ano
2011
Provas
Disciplina
Segurança da Informação
Assuntos

Julgue os próximos itens, relativos a sistema de gestão de segurança
da informação (SGSI).

No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica, a qual deve estar alinhada às metas de negócio.

Alternativas
Comentários
  • De acordo com a norma NBR ISO/IEC 27001, seção 4, a organização deve:
    a) Defnir o escopo e os limites do SGSI nos termos e caracterísitcas do negócio, a organização, sua localizçaão, ativos e tecnologia;
    b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia;
    c) Definir a abordagem de análise/avaliação de riscos da organização;
    d) Identificar riscos;
    ...
    Creio que o erro da afirmação esteja em "junto com uma política específica", porém não tenho certeza.
  • O erro talvez esteja no escopo e seus limites, já que se numa organização é definido o escopo, automaticamente se define seus limites.
  • O erro esta justamente na falta dos seguintes parâmetros:

    c) Definir a abordagem de análise/avaliação de riscos da organização;
    d) Identificar riscos;

    Além dos mencionados na questão.
  • No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica, a qual deve estar alinhada às metas de negócio.

    Galera,
    A questão é chata, pois a banca gosta de detalhes, esmerilhando a questão chegamos ao P-D-C-A, onde:

    1 - P - Plan - Planejar

    Estabelecer -> Políticas / Objetivos / Processos / Procedimentos -> Do SGSI -> Gestão de Riscos e Melhorias da Seg. Info. -> Para produzir resultados de acordo com -> Políticas / Objetivos Gerais

    Então : a questão está errada por dizer que é em conjunto com uma política específica

    Valeu!
  • Acho que o erro foi falar alinhado às metas , objetivo e meta são diferentes entre si. Objetivo é a descrição daquilo que se pretende alcançar. Meta é a definição em termos quantitativos, e com um prazo determinado.
  • O CESPE exige verdadeiros contorcionismos mentais para identificar um erro da questão.

    A Política de Segurança de Informação (elaborada no âmbito do SGSI) é específica dentro de uma empresa, certo? Trata de um aspecto bem defindo.

    Ela deve estar alinhada com os negócio da da empresa (latu sensu, os objetivos e metas)...ou seja, ao elaborar a PSI, você não leva em conta apenas os requisitos de TI, estritamente. Até aí, correto?

    Por fim, deve-se definir outros parâmetros ao estabelecer o SGSI, mas a regra do CESPE é que, na falta de uma definição completa, a definição apresentada é correta caso não haja itens errados (ex: Ao citar a "lei seca" de um artigo do CPP, este será considerado correto, mesmo que a citação não inclua qualificadoras, agravantes e etc.

  • O erro da questão está no gabarito oficial que deu a resposta como errada. Qualquer outra coisa é forçar algo que não existe.

  • deve-se definir seu escopo e seus limites; OK 4.2.1a

    junto com uma política específica; OK 4.2.1b, pois se a definição de política do SGSI leva em consideração as características do negócio, então ela é uma política específica.

    a qual deve estar alinhada às metas de negócio; ERRADO 4.2.1b.3, não é isso que diz o item referido. Ele diz "alinhada com o contexto estratégico de gestão de riscos da organização"

  • Ah! Gente, fala sério! O erro tá no gabarito. Questão formulada por estagiário do CESPE. Na minha opinião não há absolutamente nada que torne a questão errada. É muita forçação de barra, né?

  • NÃO HÁ ERRO NA QUESTÃO!!! PURA FORÇAÇÃO DE BARRA PROCURAR ERRO NESTA QUESTÃO. Por favor...

  • Cespe...sempre aprontando.

  • Analisando a questão: 

    No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica... OK pois segundo a norma para estabelecer o SGSI deve ser feito o seguinte:
    - Definir escopo e limites do SGSI   
    - Definir a política do SGSI
    - Definir a abordagem de análise e verificação de riscos da organização
    - Identificar os riscos
    - Analisar e avaliar os riscos
    - Identificar e avaliar as opções para tratamento dos riscos
    - Selecionar objetivos de controle e controles para tratamento dos riscos
    - Obter aprovação da direção dos riscos residuais propostos
    - Obter autorização da direção para implementar e operar o SGSI
    - Preparar uma declaração de aplicabilidade

    ...a qual deve estar alinhada às metas de negócio. Nesse trecho a banca quer saber se a política tem que estar alinhada as metas do negocio, analisando a norma o que ela fala sobre a política do SGSI?

    A política do SGSI deve ser definida nos termos e características do negócio, organização, localização, ativos e tecnologia 
     

    Acredito que a banca considerou a literalidade do texto da norma por isso o erro. Possivelmente foi considerado que "estar alinhada com as metas de negócio" é diferente de "ser definida nos termos e características do negócio etc." 
     

    Questão chatinha mas segue em frente!


     

  • o erro está no fcking gabarito e a galera fica tentando justificar, vai entender