SóProvas

ID
861406
Banca
CESPE / CEBRASPE
Órgão
TCE-ES
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

Segundo as normas NBR ISO/IEC 27001 e 27002, julgue os itens a seguir, a respeito de gestão de segurança da informação.

Uma política de segurança da informação deve fornecer orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para todos os funcionários e partes externas relevantes, não devendo ser alterado a partir de então.

Alternativas
Comentários
  • A questão está errada, pois há o controle:
    A.5.1.2 Análise crítica da política de segurança da informação
    A política de segurança da informação deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia
    Ou seja, uma vez estabelecida, uma política de segurança da informação não é imutável, pois após um determinado período pode necessária a sua adaptação ao atual contexto.
    Fonte: ABNT-NBR-ISO/IEC 27001, página 14
  • CESPE é de arrombar. Estava indo td certinho até a frase após a última vírgula: não devendo ser alterado a partir de então. Isso falseou a afirmação, pois a política de segurança pode ser modificada.

    Alternativa: E
  • Isso mesmo. Essa é uma daquelas questões para pegar os "afobados". O enunciado tem várias afirmações corretas e, no final, um erro discreto.

    "Uma política de segurança da informação deve fornecer orientação e apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. O documento da política de segurança da informação necessita da aprovação da direção da organização e deve ser publicado e comunicado para todos os funcionários e partes externas relevantes, não devendo ser alterado a partir de então."
  • Questão puramente de lógica, onde já se viu não poder alterar um documento da política de segurança da informação de uma organização?Tecnologia evolui, as meaças também, logo a alteração do documento se faz necessário.

    Nem precisa de conhecimento técnico pra resolver.

    GAB: ERRADO
  • Notem que a questão possui pelo menos dois erros:
    1-deve ser publicado e comunicado...
    o 27002 não obriga, ela diz que convém.

    2-não devendo ser alterado a partir de então.
    como foi citado acima, é conveniente que a PSI seha atualizada.
  • Complementando, o GSI/PR recomenda que a revisão de uma Política de Segurança da Informação não passe mais que 3 anos sem ser revisada.
  • Vale lembrar que estas normas se baseiam no ciclo PDCA (plan-do-check-act), de modo que seus documentos e processos são alterados em busca de melhoria.

  • Nesta questão, a palavra DEVE, remete ao sentido de obrigatoriedade, enquanto a norma orienta. Neste caso a organização pode publicar e divulgar para terceiros, conforme a necessidade da instituição.

  • 7 Análise crítica do SGSI pela direção
    7.1 Geral

    "A direção deve analisar criticamente o SGSI da organização a intervalos planejados (...) Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação."


    Fonte: NBR/ISO 27001:2006

  • Típica questão em que deve-se ler TODO o enunciado com atenção, pois o erro está justamente no final.