SóProvas


ID
946312
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que utilizada, refere-se a sistema gestão de segurança da informação.

Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.

Alternativas
Comentários
  • As auditorias internas em intervalos planejados são realizadas na fase de "Check" do SGSI.
  • Localizando essa atividade nas fases EIOMAMM do SGSI ...
    Nota:
           EIOMAMM = Estabelecer, Implementar e Operar, Monitorar e  Analisar, Manter e Melhorar
           SI                = Segurança da Informação
           SGSI          = Sistema de Gerenciamento de Segurança da Informação

    Fase PLAN ( Estabelecer o SGSI )

    ·     Definir o escopo e os limites do SGSI
    ·     Definir uma política de SI
    ·     Definir a sistemática (metodologia) de análise/avaliação de riscos de SI
    ·     Identificar os riscos
    ·     Analisar e avaliar os riscos
    ·     Identificar e avaliar as opções para o tratamento dos riscos
    ·     Selecionar objetivos de controles e controles para o tratamento de riscos
    ·     Obter a aprovação da direção dos riscos residuais propostos
    ·     Obter a aprovação da direção para implementar e operar o SGSI
    ·     Preparar uma declaração de aplicabilidade   ( menciona os controles selecionados e excluídos, e suas razões )

    Fase DO ( Implementar e Operar o SGSI )

    ·     Formular um plano de tratamento de risco  ( isto pode confundir, mas não pertence à fase PLAN )
    ·     Implementar o plano de tratamento de risco
    ·     Implementar os controles selecionados
    ·     Definir como medir a eficácia dos controles  ( a sua implementação é na fase seguinte: CHECK )
    ·     Implementar programas de conscientização e treinamento
    ·     Gerenciar as operações do SGSI
    ·     Gerenciar os recursos para o SGSI
    ·     Implementar procedimentos e outros controles para rápida detecção e resposta a incidentes

    Fase CHECK Monitorar e Analisar Criticamente o SGSI )

    ·     Executar procedimentos de monitoração e análise crítica
    ·     Realizar análises críticas regulares da eficácia do SGSI
    ·     Medir a eficácia dos controles
    ·     Analisar criticamente as análises/avaliações de riscos a intervalos planejados e os riscos residuais
    ·     Realizar uma análise crítica do SGSI pela direção
    ·     Atualizar os planos de SI
    ·     Registrar as ações e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI

    Fase ACT ( Manter e Melhorar o SGSI )

    ·      Implementar as melhorias identificadas no SGSI
    ·      Executar as ações preventivas e corretivas apropriadas
    ·      Comunicar as ações e melhorias a todas as partes interessadas
    ·      Assegurar-se de que as melhorias alcancem os objetivos propostos
  • ERRADO.

    Segundo a ISO 27001,"

    4.2.3 Monitorar e analisar criticamente o SGSI

    A organização deve:

    e) Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

    NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos."

  • Muito legal o esquema João.

  • João


    Obrigado pelo esquema

  • VALEU JOÃO! SHOW DE BOLA!