SóProvas

ID
872998
Banca
CESPE / CEBRASPE
Órgão
TJ-AC
Ano
2012
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere ao controle de acesso aos ativos com fundamento nas normas NBR ISO/IEC 27.001:2006 e 27.002:2005, julgue os itens seguintes.


Para a política de SGSI, todos os registros de acesso às informações deverão ser armazenados em meio eletrônico e criptografados para segurança, e os registros de incidentes de segurança da informação deverão ser guardados em sigilo.

Alternativas
Comentários

  • ERRADO. 

    Marquei errado com base nos seguintes trechos da norma ISO 27001.

    Segundo a ISO 27001,"

    4.3 Requisitos de documentação

    4.3.1 Geral

    NOTA 3 Documentos e registros podem estar em qualquer forma ou tipo de mídia."

    ----------------------------------------------------------------------------------------------

    Segundo a ISO 27001,"4.3.3 Controle de registros

    Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de incidentes de segurança da informação significativos relacionados ao SGSI.

    EXEMPLO

    Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso

    preenchidos."

    **Portanto, marquei errado em virtude de que os formulários de autorização de acesso não necessariamente precisam estar em formato digital, sendo assim podem estar impressos e, portanto, dispensam a criptografia. Outra coisa que notei é que NEM todos os registros de incidentes precisam ser guardados ou ser mantidos em sigilo, mas somente aqueles SIGNIFICATIVOS PARA O SGSI.

  • Segundo a ISO 27001,"4.3.3 Controle de registros

    Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de incidentes de segurança da informação significativos relacionados ao SGSI.