SóProvas

ID
947347
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

No que se refere a políticas de segurança da informação, julgue o item a seguir.

A elaboração, manutenção e análise crítica da política de segurança da informação competem exclusivamente ao security officer da área de tecnologia da informação da organização.

Alternativas
Comentários
  • Errada.
    Conforme a seção 7 da norma 27001, a análise crítica é uma das funções da direção da empresa ...

    7. Análise Crítica pela Direção

    7.1. Entradas (dessa análise)
    ·      Resultados de auditorias e análises críticas
    ·      Resultados das medições de eficácia
    ·      Retornos das partes interessadas
    ·      Situação das ações preventivas e corretivas
    ·      Técnicas, produtos ou procedimentos usados na organização que podiam melhorar a eficácia do SGSI
    ·      Vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores
    ·      Qualquer mudança que poderia afetar o SGSI
    ·      Recomendações para melhorias

    7.2. Saídas (resultados da análise)
    ·      Melhoria na eficácia do SGSI
    ·      Atualização da análise/avaliação de riscos e do plano de tratamento de riscos
    ·      Modificação de procedimentos e controles que afetem a SI
    ·      Necessidade de novos recursos
    ·      Melhoria nas medições da eficácia

  • Acredito que a direção é responsável pela análise crítica, mas outras frentes também participam da dessa atividade. A alta direção precisa de conhecimentos técnicos de várias área para subsidiar a política. A elaboração, manutenção e análise crítica da política de segurança da informação competem também ao security officer. O "exclusivamente" invalida a questão.

    Bons estudos.

  • ERRADO

    Segundo o item 1.4 na página 10 do Guia de Boas práticas em segurança da informação do TCU"

    1.4 Quem são os responsáveis por elaborar a PSI(Política de segurança da informação)?

    É recomendável que na estrutura da instituição exista uma área responsável pela segurança de informações, a qual deve iniciar o processo de elaboração da política de segurança de informações, bem como coordenar sua implantação, aprová-la e revisá-la, além de designar funções de segurança.

    Vale salientar, entretanto, que pessoas de áreas críticas da instituição devem participar do processo de elaboração da PSI, como a alta administração e os diversos gerentes e proprietários dos sistemas informatizados. Além disso, é recomendável que a PSI seja aprovada pelo mais alto dirigente da instituição."

    Bibliografia:

    http://portal2.tcu.gov.br/portal/pls/portal/docs/2511466.PDF