SóProvas

ID
959995
Banca
CESPE / CEBRASPE
Órgão
SERPRO
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A adoção de um sistema de gestão de segurança da informação (SGSI) deve ser uma decisão estratégica para uma organização. Por sua vez, a forma de implantação do SGSI é influenciada por necessidades e objetivos, requisitos de segurança, processos empregados, e tamanho e estrutura da organização. Acerca desse assunto e com base na especificação de segurança da informação descrita na norma ISO 27001, julgue os itens a seguir:

Entre as etapas de monitoração de um SGSI, está prevista a construção de um texto com todos os objetivos de controle e seus respectivos controles. Essas informações farão parte da declaração de aplicabilidade que deve ser submetida à autorização e a posterior aprovação pela diretoria da empresa.

Alternativas
Comentários

  • Casca de bana na questão refere-se a etapa. 

    O correto é definir os objetivos de controle e os respectivos controle na etapa de Estabelecimento do SGSI, conforme a 27001. Observem que é até semelhante ao planejamento de um projeto. Você define o que será controlado no planejament e não no próprio monitoramento.

  • Segundo a ISO 27001,"

    4.2 Estabelecendo e gerenciando o SGSI

    4.2.1 Estabelecer o SGSI

    j) Preparar uma Declaração de Aplicabilidade.

    Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte:

    1) Os objetivos de controle e os controles selecionados em 4.2.1g) e as razões para sua seleção;

    2) Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e)2)); e

    3) A exclusão de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua exclusão.

    NOTA A Declaração de Aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.

    "

  • Acredito que em nenhum guia de boas práticas, norma, metodologia, framework ou similares definirá algo na etapa de monitoramento. A etapa de monitoramento é pra controle, pra ver se as coisas estão funcionando como planejado.

    Se eu estiver errado, alguém por favor me corrija. :)

  • Declaração de aplicabilidade faz parte do ESTABELECER .. (plan)