SóProvas


ID
868441
Banca
CESPE / CEBRASPE
Órgão
TRE-MS
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

De acordo com a norma ABNT NBR ISO/IEC 27.001, a gestão da continuidade do negócio tem como objetivo evitar a interrupção de atividades e processos críticos para o negócio, razão por que, no âmbito dessa gestão, devem ser desenvolvidos planos que sejam testados e reavaliados sempre que necessário ou em intervalos de tempos determinados. Nesse sentido, uma mudança que pode provocar a atualização dos planos de continuidade do negócio de uma organização consiste

Alternativas
Comentários
  • Fiquei em duvida entre as letras B e C acabei marcando B.
    Mas lendo com um pouco mais de atenção da pra perceber que  a letra C faz mais sentido,
    pois na letra B, mesmo que seja uma troca de equipamentos, os que irão substituir podem ser identicos aos defeituosos não havendo necessidade de atualização dos planos de continuidade, já a troca de instalações físicas é algo que provavelmente causaria algum impacto necessitando de atualização.

  • Resposta C.
    A mudança da da localização das instalaçoes implica na reavaliação do SGSI. Já que os controles de segurança física também fazem parte de um SGSI. 

    Anexo A item 9.1 da norma ISO 27001
    9 Segurança física e do ambiente 
    9.1 Áreas seguras 
    Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da 
    organização. 
    Deve constar na entrada do ambiente se o mesmo é classificado como acesso restrito ou acesso proibido.
  • Resposta: c) na alteração da localização das instalações físicas do centro de dados.

    A resposta está nas diretrizes da ISO 27002


    -------------------------------------------------------
    14. Gestão da continuidade do negócio
       14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
           14.1.5. Testes, manutenção e reavaliação dos planos de continuidade do negócio
    Controle -“Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade” 
    Diretrizes- “Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos;
    ------------------------------------------------------

    As outras alternativas não configuram situações em que seria preciso atualizar o plano de continuidade:
    a) no treinamento em um sistema gerenciador de banco de dados. -  Errado
    b) na troca de equipamento de refrigeração que tenha  acarretado defeito das instalações físicas do centro de dados. - Errado
    d) na troca de extintores de incêndio das instalações físicas. - Errado
    e) no treinamento de segurança do trabalho. - Errado

    Fernando Palma
    www.portalgsti.com.br
  • Prezados,
    Apesar do enunciado tratar a questão como uma questão sobre 27.001, para resolve-la precisaremos da 27.002.
    Segundo a 27.002, dentro da gestão de continuidade de negócios, temos o seguinte controle:
    Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade
    Como diretriz de implementação desse controle , temos alguns exemplos de mudanças que podem provocar a atualização dos planos de continuidade de negócio , atenção especial para o item D que responde nossa questão :
    Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de:
    a) pessoal;
    b) endereços ou números telefônicos;
    c) estratégia de negócio;
    d) localização, instalações e recursos;
    e) legislação;
    f) prestadores de serviços, fornecedores e clientes-chave;
    g) processos (inclusões e exclusões);
    h) risco (operacional e financeiro).
    Portanto, a alternativa correta para essa questão é a letra C.
    Fonte : ABNT NBR ISO/IEC 17799:2005
  • Complemento conforme o GUIA de segurança do TCU.

    Segundo esse GUIA,"3.7.3 Que fatos podem provocar a necessidade de atualização do PCN?

    Diversas situações podem demandar atualizações no Plano, tais como as mudanças:
    • no parque ou ambiente computacional (ex: aquisição de novo equipamento, atualização de sistemas operacionais,
    migração de sistemas de grande porte para ambiente cliente-servidor);
    • administrativas, de pessoas envolvidas e responsabilidades;
    • de endereços ou números telefônicos;
    • de estratégia de negócio;
    • na localização e instalações;
    • na legislação;
    • em prestadores de serviço, fornecedores e clientes chave;
    • de processos (inclusões e exclusões);
    • no risco (operacional e financeiro)."