SóProvas

ID
895288
Banca
CESPE / CEBRASPE
Órgão
CNJ
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Acerca da gestão de segurança da informação, conforme as normas
da ABNT, julgue os itens a seguir.

Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio.

Alternativas
Comentários
  • Norma ISO 27001 - deve
    Norma ISO 27002 - convém
    Isso ajuda muito nas questões, pois é perceptível no enunciado.
  • ABNT NBR ISO/IEC 27002:2005 - página 107, no controle 14.1.5 Testes, manutenção e reavaliação dos planos de continuidade do negócio:
    Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja     considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de:
     
    a) pessoal;
    b) endereços ou números telefônicos;
    c) estratégia de negócio;
    d) localização, instalações e recursos;
    e) legislação;
    f) prestadores de serviços, fornecedores e clientes-chave;
    g) processos (inclusões e exclusões);
    h) risco (operacional e financeiro).

  • Outro erro na questão é dizer que deve haver testes de interrupção. Na norma cita testes dos planos de continuidade e da recuperação dos serviços. Não precisa interromper os serviços para se realizar estes testes.

  • Prezados,
     A primeira parte do enunciado está correta, e encontra correspondência nas diretrizes para implementação, contidas no item 14.1.5 o qual transcrevo abaixo, porém a segunda parte do enunciado está incorreta, pois tais informações são necessárias e citadas na norma : A questão esta errada.
    “Convém que várias técnicas sejam utilizadas, de modo a assegurar a confiança de que o(s) plano(s) irá(ão)operar consistentemente em casos reais. Convém que sejam considerados:
    a) testes de mesa simulando diferentes cenários (verbalizando os procedimentos de recuperação para diferentes formas de interrupção);
    b) simulações (particularmente útil para o treinamento do pessoal nas suas atividades gerenciais após o incidente);
    c) testes de recuperação técnica (garantindo que os sistemas de informação possam ser efetivamente recuperados);
    d) testes de recuperação em um local alternativo (executando os processos de negócios em paralelo com a recuperação das operações distantes do local principal);
    e) testes dos recursos, serviços e instalações de fornecedores (assegurando que os serviços e produtos fornecidos por terceiros atendem aos requisitos contratados);
    f) ensaio geral (testando se a organização, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupções).
    Estas técnicas podem ser utilizadas por qualquer organização. Convém que elas reflitam a natureza do plano de recuperação específico. Convém que os resultados dos testes sejam registrados e ações tomadas para a melhoria dos planos, onde necessário.
    Convém que a responsabilidade pelas análises críticas periódicas de cada parte do plano seja definida e estabelecida. Convém que a identificação de mudanças nas atividades do negócio que ainda não tenham sido contempladas nos planos de continuidade de negócio seja seguida por uma apropriada atualização do plano.
    Convém que um controle formal de mudanças assegure que os planos atualizados são distribuídos e reforçados por análises críticas periódicas do plano como um todo.
    Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de:
    a) pessoal;
    b) endereços ou números telefônicos;
    c) estratégia de negócio;
    d) localização, instalações e recursos;
    e) legislação;
    f) prestadores de serviços, fornecedores e clientes-chave;
    g) processos (inclusões e exclusões);
    h) risco (operacional e financeiro).”
     
    Fonte : ABNT NBR ISO/IEC 27002

  • Segundo a ISO 27002:2013,

    "17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação

    Mudanças organizacionais, técnicas, de procedimentos e processos, quando em um contexto operacional ou de continuidade, podem conduzir a mudanças nos requisitos de continuidade da segurança da informação. Em tais casos, convém que a continuidade dos processos, procedimentos e controles para segurança da informação sejam analisados criticamente com base nesses requisitos alterados."