SóProvas

ID
946315
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que utilizada, refere-se a sistema gestão de segurança da informação.

Para se estabelecer um SGSI, é necessário definir a estratégia de avaliação dos riscos, que é importante para a preparação da declaração de aplicabilidade.

Alternativas
Comentários
  • 3.16
    declaração de aplicabilidade
    declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao
    SGSI da organização
    NOTA Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de
    análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os
    requisitos de negócio da organização para a segurança da informação.
    ABNT NBR ISO/IEC 27001:2006

    Ou seja, a declaração de aplicabilidade descreve os objetivos de controle e os controles, que por sua vez são baseados na análise/avaliação de riscos, requisitos legais e regulamentares, obrigações contratuais e os requisitos de negócio. Não mensiona a estratégia de avaliação, cita as conclusões da análise/avaliação, mas não cita a estratégia usada.
  • Olá! 

    Na verdade trata-se de definir uma *metodologia* para análise/avaliação de 
    riscos. Aí está o erro. O resto do teu raciocínio, se for isso mesmo, está 
    ok: na fase plan você define a metodologia, faz a análise/avaliação de 
    riscos, identifica e avalia as opções de tratamento, seleciona os controles 
    aplicáveis e prepara a declaração de aplicabilidade. Ou seja, se você não 
    tem uma metodologia consistente, terá dificuldades na seleção de controles 
    e portanto, tua declaração de aplicabilidade será míope. 

    Contudo, o erro da questão está bem no começo, na minha opinião. 

    Abraço e bons estudos :) 
    -- 
    THIAGO FAGURY 

  • Achei a questão mal formulada, entretanto concordo com o comentário do colega edeilson. O problema não é a troca da palavra _metodologia_ por _estratégia_.


    Na verdade o problema é dizer que a _estratégia_ ou _metodologia_, como queiram, é importante para a preparação da declaração de aplicabilidade, pois como foi bem referenciado pelo colega Edeilson, a declaração de aplicabilidade se atém somente aos resultados e conclusões da análise/avaliação de riscos e não a metodologia/estratégia usada.

  • A questão diz que:"Para se estabelecer um SGSI, é necessário definir a estratégia de avaliação dos riscos". Logo ela atribui isso a fase Plan (Estabelecer), no entanto isso é feito na fase Do: Formular um plano de tratamento de riscos. Logo a questão está errada.

  • Não João Silva, você está errado. Formular o plano de tratamento de riscos é totalmente diferente de definir a estratégia de avaliação dos riscos. A definição da estratégia de avaliação dos riscos é realizada na fase plan: "Definir a sistemática (metodologia) de análise/avaliação de riscos de SI"

  • A estratégia, abordagem ou metodologia para avaliação de riscos é importante para a seleção de controles (fase Plan) e não para preparar a Declaração de Aplicabilidade.