SóProvas

ID
946321
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que utilizada, refere-se a sistema gestão de segurança da informação.

A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

Alternativas
Comentários
  • A atividade mencionada não pertence à fase DO (implementação e operação), mas à fase CHECK (monitoramento e análise)

    O correto seria:     A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de monitoramento e análise do SGSI.


    Rvisão e localização dessa atividade nas fases EIOMAMM do SGSI ...

    Nota:
       EIOMAMM = Estabelecer, Implementar e Operar, Monitorar e  Analisar, Manter e Melhorar
       SI                = Segurança da Informação
       SGSI           = Sistema de Gerenciamento de Segurança da Informação

    Fase PLAN ( Estabelecer o SGSI )

    ·     Definir o escopo e os limites do SGSI
    ·     Definir uma política de SI
    ·     Definir a sistemática (metodologia) de análise/avaliação de riscos de SI
    ·     Identificar os riscos
    ·     Analisar e avaliar os riscos
    ·     Identificar e avaliar as opções para o tratamento dos riscos
    ·     Selecionar objetivos de controles e controles para o tratamento de riscos
    ·     Obter a aprovação da direção dos riscos residuais propostos
    ·     Obter a aprovação da direção para implementar e operar o SGSI
    ·     Preparar uma declaração de aplicabilidade   ( menciona controles selecionados e excluídos, e suas razões )

    Fase DO ( Implementar e Operar o SGSI )

    ·     Formular um plano de tratamento de risco  ( isto pode confundir, mas não pertence à fase PLAN )
    ·     Implementar o plano de tratamento de risco
    ·     Implementar os controles selecionados
    ·     Definir como medir a eficácia dos controles  ( a sua implementação é na fase seguinte: CHECK )
    ·     Implementar programas de conscientização e treinamento
    ·     Gerenciar as operações do SGSI
    ·     Gerenciar os recursos para o SGSI
    ·     Implementar procedimentos e outros controles para rápida detecção e resposta a incidentes

    Fase CHECK ( Monitorar e Analisar Criticamente o SGSI )

    ·     Executar procedimentos de monitoração e análise crítica
    ·     Realizar análises críticas regulares da eficácia do SGSI
    ·     Medir a eficácia dos controles
    ·     Analisar criticamente as análises/avaliações de riscos a intervalos planejados e os riscos residuais
    ·     Realizar uma análise crítica do SGSI pela direção
    ·     Atualizar os planos de SI
    ·     Registrar as ações e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI

    Fase ACT ( Manter e Melhorar o SGSI )

    ·      Implementar as melhorias identificadas no SGSI
    ·      Executar as ações preventivas e corretivas apropriadas
    ·      Comunicar as ações e melhorias a todas as partes interessadas
    ·      Assegurar-se de que as melhorias alcancem os objetivos propostos
  • Adicionando ao ótimo comentário do colega JOÃO, na fase CHECK, também tem-se:
    "Conduzir auditorias internas do SGSI a intervalos planejados (ver seção 6).

    NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos." ISO 27.001 pag. 7.

    Bons estudos!