SóProvas


ID
913297
Banca
FMP Concursos
Órgão
MPE-AC
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Considere as afirmativas abaixo sobre políticas de segurança da informação:

I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las, caso a ameaça se concretize.

II. Uma política de segurança da informação visa prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

III. Em uma política de segurança deve constar, entre outros, a definição dos principais conceitos de segurança da informação; comprometimento da direção apoiando as metas e os princípios; uma estrutura para estabelecer os objetivos de controle e os controles propriamente ditos, incluindo a estrutura da análise e avaliação de gerenciamento de riscos.

Quais afirmativas estão corretas?

Alternativas
Comentários
  • I. Na definição de uma política de segurança, é preciso avaliar as ameaças e os riscos, classificando-os de acordo com a susceptibilidade e a criticidade da operação e do ativo que poderá ser afetado, além de fornecer contramedidas para mitigá-las (CONTIGENCIÁ-LAS), caso a ameaça se concretize. 
  • Não consegui entender o porque da afirmativa I está incorreta.

  • I)INCORRETO. Segundo a ISO 27002,4.1 Analisando/avaliando os riscos de segurança da informação",

    Convém que as análises/avaliações de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização." (Minhas palavras>>)** A política de segurança da informação está mais para prover uma orientação, e apesar de prover uma estrutura para a análise e avaliação de risco, é responsabilidade da análise/avaliação avaliar as ameaças e riscos, e não da política de segurança.

    --------------------

    II) CORRETO. Segundo a ISO 27002,5.1 Política de segurança da informação,"Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes."

    -----------------

    III)CORRETO. Segundo a ISO 27002,5.1.1 Documento da política de segurança da informação,"

    Convém que o documento da política contenha declarações relativas a:

    a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução); b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;"

  • O erro da assertiva I está :

    além de fornecer contramedidas para mitigá-las  nem todos os riscos podem ser mitigados.

  • Ainda nao entendi por que nao considerar a I certa

  • Também considero a I correta.

     

    Marquei E.