SóProvas

ID
946318
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que utilizada, refere-se a sistema gestão de segurança da informação.

Para assegurar que o SGSI continua conveniente com a realidade da organização, a direção deve analisá-lo em intervalos planejados.

Alternativas
Comentários
  • Localizando essa atividade nas fases EIOMAMM do SGSI ...

    Nota:
       EIOMAMM = Estabelecer, Implementar e Operar, Monitorar e  Analisar, Manter e Melhorar
       SI                = Segurança da Informação
       SGSI           = Sistema de Gerenciamento de Segurança da Informação

    Fase PLAN ( Estabelecer o SGSI )

    ·     Definir o escopo e os limites do SGSI
    ·     Definir uma política de SI
    ·     Definir a sistemática (metodologia) de análise/avaliação de riscos de SI
    ·     Identificar os riscos
    ·     Analisar e avaliar os riscos
    ·     Identificar e avaliar as opções para o tratamento dos riscos
    ·     Selecionar objetivos de controles e controles para o tratamento de riscos
    ·     Obter a aprovação da direção dos riscos residuais propostos
    ·     Obter a aprovação da direção para implementar e operar o SGSI
    ·     Preparar uma declaração de aplicabilidade   ( menciona controles selecionados e excluídos, e suas razões )

    Fase DO ( Implementar e Operar o SGSI )

    ·     Formular um plano de tratamento de risco  ( isto pode confundir, mas não pertence à fase PLAN )
    ·     Implementar o plano de tratamento de risco
    ·     Implementar os controles selecionados
    ·     Definir como medir a eficácia dos controles  ( a sua implementação é na fase seguinte: CHECK )
    ·     Implementar programas de conscientização e treinamento
    ·     Gerenciar as operações do SGSI
    ·     Gerenciar os recursos para o SGSI
    ·     Implementar procedimentos e outros controles para rápida detecção e resposta a incidentes

    Fase CHECK ( Monitorar e Analisar Criticamente o SGSI )

    ·     Executar procedimentos de monitoração e análise crítica
    ·     Realizar análises críticas regulares da eficácia do SGSI
    ·     Medir a eficácia dos controles
    ·     Analisar criticamente as análises/avaliações de riscos a intervalos planejados e os riscos residuais
    ·     Realizar uma análise crítica do SGSI pela direção
    ·     Atualizar os planos de SI
    ·     Registrar as ações e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI

    Fase ACT ( Manter e Melhorar o SGSI )

    ·      Implementar as melhorias identificadas no SGSI
    ·      Executar as ações preventivas e corretivas apropriadas
    ·      Comunicar as ações e melhorias a todas as partes interessadas
    ·      Assegurar-se de que as melhorias alcancem os objetivos propostos

  • CERTO.

    Segundo a ISO 27001,"

    7 Análise crítica do SGSI pela direção

    7.1 Geral

    A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia."

  • respondendo conforme a versão mais nova da ISO, que é a ISO 27001:2013. Ainda estaria correta!


    Segundo a versão de 2013,"

    9.3 Análise crítica pela direção

    A Alta Direção deve analisar criticamente o sistema de gestão da segurança da informação da organização a intervalos planejados para assegurar a sua contínua adequação, pertinência e eficácia.

    "