-
A questão está errada, pois quatro os controles que integram o gerenciamento de acesso do usuário. Seguem abaixo os controles:
A.11.2 Gerenciamento de acesso do usuário
Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. A.11.2.1 Registro de usuário
Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços. A.11.2.2 Gerenciamento de privilégios
A concessão e o uso de privilégios devem ser restritos e controlados. A.11.2.3 Gerenciamento de senha do usuário
A concessão de senhas deve ser controlada por meio de um processo de gerenciamento formal. A.11.2.4 Análise crítica dos direitos de acesso de usuário
O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. Fonte: ABNT-NBR-ISO/IEC 27001, página 23
-
É o tipo de questão que o examinador está de mal com a vida...você ter que decorar até o número de controles de cada objetivo...
-
Faltou o examinador informar o último controle:
A.11.2.4 Análise crítica dos direitos de acesso de usuário.
Anexo A - Objetivos de controle e controles
Bom estudo!
-
Senhores,
..." As listas na tabela A.1 não são exaustivas e uma organização pode considerar que objetivos de controle e controles adicionais são necessários."
Fone: ABNT NBR ISO/IEC 27001:2006, Pág. 14
Portanto, pode-se utilizar controles adicionais não se limitando aos descritos na norma em apreço.
-
Não dá para entender o CESPE. Faço várias questões e sempre dizem que em questões incompletas: "Questões incompletas do CESPE não são consideradas incorretas". E aí? Fica dificil.
-
Simples! O erro está em negrito:
"O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: ...". Citando apenas três controles!!!
Segundo a norma 27001:2013, os controles são:
- Registro e cancelamento de usuários;
- Provisionamento para acesso de usuário;
- Gerenciamento de direitos de acesso privilegiado;
- Gerenciamento da informação de autenticação secreta de usuários;
- Análise crítica dos direitos de acesso do usuário; e
- Retirada ou ajuste dos direitos de acesso.
-
Em se tratando da CESPE, quando na questão estiver o termo plenamente, já fico desconfiado.