SóProvas

ID
861403
Banca
CESPE / CEBRASPE
Órgão
TCE-ES
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo as normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de gestão de segurança da informação.

O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: registro de usuário, gerenciamento de privilégios e gerenciamento de senha do usuário.

Alternativas
Comentários
  • A questão está errada, pois quatro os controles que integram o gerenciamento de acesso do usuário. Seguem abaixo os controles:
    A.11.2 Gerenciamento de acesso do usuário
    Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas de informação. A.11.2.1 Registro de usuário
    Deve existir um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação e serviços.  A.11.2.2 Gerenciamento de privilégios
    A concessão e o uso de privilégios devem ser restritos e controlados.  A.11.2.3 Gerenciamento de senha do usuário
    A concessão de senhas deve ser controlada por meio de um processo de gerenciamento formal.  A.11.2.4 Análise crítica dos direitos de acesso de usuário
    O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. Fonte: ABNT-NBR-ISO/IEC 27001, página 23
  • É o tipo de questão que o examinador está de mal com a vida...você ter que decorar até o número de controles de cada objetivo...

  • Faltou o examinador informar o último controle:

    A.11.2.4  Análise crítica dos direitos de  acesso de usuário.

    Anexo A - Objetivos de controle e controles

    Bom estudo!

  • Senhores,

    ..." As listas na tabela A.1 não são exaustivas e uma organização pode considerar que objetivos de controle e controles adicionais são necessários."

    Fone: ABNT NBR ISO/IEC 27001:2006, Pág. 14

     

    Portanto, pode-se utilizar controles adicionais não se limitando aos descritos na norma em apreço.


     

  • Não dá para entender o CESPE. Faço várias questões e sempre dizem que em questões incompletas: "Questões incompletas do CESPE não são consideradas incorretas". E aí? Fica dificil.

  • Simples! O erro está em negrito:

    "O gerenciamento de acesso do usuário é plenamente implementado pelos seguintes controles: ...". Citando apenas três controles!!!

    Segundo a norma 27001:2013, os controles são:

    - Registro e cancelamento de usuários;

    - Provisionamento para acesso de usuário;

    - Gerenciamento de direitos de acesso privilegiado;

    - Gerenciamento da informação de autenticação secreta de usuários;

    - Análise crítica dos direitos de acesso do usuário; e

    - Retirada ou ajuste dos direitos de acesso.

  • Em se tratando da CESPE, quando na questão estiver o termo plenamente, já fico desconfiado.