SóProvas

ID
868432
Banca
CESPE / CEBRASPE
Órgão
TRE-MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Para prover evidências de conformidade aos requisitos do sistema de gestão de segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27.001, deve-se

Alternativas
Comentários
  • Controle de Registros
    Registros devem ser estabelecidos e mantidos para prover evidências de conformidade com os requisitos do SGSI. Eles devem ser controlados. O SGSI deve guardar qualquer requerimento legal relevante. Registros devem  estar legíveis, identificados e prontamente recuperáveis. Os controles necessários para identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição  dos registros devem ser documentados. Um processo de gerenciamento deve determinar a necessidade e abrangência dos registros.
    Fonte: http://www2.dem.inpe.br/ijar/Auditoria%20de%20SI/Aulas/SegInform.pdf
  • Complementando a resposta do colega, seguem exemplos de registros:

    livros de visistas
    relatórios de auditorias
    Formulários de autorização de acesso completo
  • Prezados,
    A alternativa correta para essa questão é a letra E, pois guarda correspondência direta com o que foi especificado na referida ISO :
    “4.3.3 Controle de registros
    Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideração quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e implementados.”
    Fonte : ABNT NBR ISO/IEC 27001:2006

  • A unica duvida que eu tenho é sobre o item a, pois pelo meu entendimento o monitoramento produz sim evidências sobre a conformidade. É claro que nessa questão há uma transcrição direta do controle de Registro, porém, usando o minimo de lógica é fácil perceber que monitoramento gera evidencia de conformidade também. Para mim a questão tem duas respostas. 

  • Concordo com Kaio. A própria 27001 possui itens que podem corroborar sobre o check prover evidência de conformidade aos requisitos do SGSI. Vou citar alguns:

    4.2.3 Monitorar e analisar criticamente o SGSI 

    A organização deve:

    c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. 

    ....

    f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo 

    permanece adequado e que são identificadas melhorias nos processos do SGSI (ver 7.1). 


  • Também concordo com o Kaio e mais uma coisa. Estabelecer é diferente de Controlar. A norma usa o termo estabelecer. Alguém concorda que estabelecer é diferente de Controlar?

  • Tem duas respostas, mesmo. Tem de decorar o texto seco pra responder direito essas questões, infelizmente.