SóProvas

ID
959992
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A adoção de um sistema de gestão de segurança da informação (SGSI) deve ser uma decisão estratégica para uma organização. Por sua vez, a forma de implantação do SGSI é influenciada por necessidades e objetivos, requisitos de segurança, processos empregados, e tamanho e estrutura da organização. Acerca desse assunto e com base na especificação de segurança da informação descrita na norma ISO 27001, julgue os itens a seguir.

Não é conveniente que os documentos requeridos pelo SGSI sejam distribuídos para todos os funcionários da organização, mesmo que estes possam contribuir com o seu conteúdo ou sintam-se responsáveis pela estratégia de segurança adotada na empresa.

Alternativas
Comentários


  • Errado
    Entendo que é conveniente que os documentos sejam distribuídos a todos:
    0.7 Fatores críticos de sucesso
    e) Divulgação eficiente da segurança para todos os gerentes e empregados.
    f) Distribuição das diretrizes sobre as normas e políticas de segurança da informação para todos os empregados e fornecedores.
    http://www.scribd.com/mobile/doc/2449992


  • CERTO.Não é conveniente que os documentos requeridos pelo SGSI sejam distribuídos para todos[...]. Segue alguns trechos da norma que confirmam isso.

    Segundo a ISO 27001,"

    4.3.2 Controle de documentos

    Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: 

    f) assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação;

    h) assegurar que a distribuição de documentos seja controlada;

    i) prevenir o uso não intencional de documentos obsoletos; e

    j) aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito."



  • Muito bom Tanenbaum, trata-se de uma interpretação geral da norma e você encontrou evidências que suportam a assertiva.

    A política de SI, documento requerido do SGSI, conforme item 4.3.1, deve sim ser comunicado a todos, inclusive às partes externas.

    No entanto, nem todos documentos (descritos no item 4.3.1) devem ser comunicados a todos. Por exemplo, acesso público ao relatório da análise/avaliação de riscos poderia resultar no aumento do número de ameaças(pessoas de má-fé) para explorar as vulnerabilidades

  • No referido documento existem informacoes sigilosas sobre a seguranca da organizacao que nao devem ser divulgadas para todos os colcaboradores da empresa. 

  • ISO 27001/2006

    4.3.2 Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:

    a) aprovar documentos para adequação antes de sua emissão;

    b) analisar criticamente e atualizar, quando necessário, e reaprovar documentos;

    c) assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas;

    d) assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso;

    e) assegurar que os documentos permaneçam legíveis e prontamente identificáveis;

    f) assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação;

    g) assegurar que documentos de origem externa sejam identificados;

    h) assegurar que a distribuição de documentos seja controlada;

    i) prevenir o uso não intencional de documentos obsoletos; e

    j) aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito.