SóProvas

ID
985192
Banca
CESPE / CEBRASPE
Órgão
CPRM
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

Em relação à NBR ISO/IEC n.º 27.002/2005, julgue os itens subsequentes.


Entre os controles considerados como melhores práticas para a segurança da informação estão a atribuição de responsabilidades para a segurança da informação, a gestão de vulnerabilidades técnicas e a gestão de continuidade do negócio.

Alternativas
Comentários

  • Questão correta!

    Norma ISO 27002


    "a atribuição de responsabilidades para a segurança da informação"


    6. Organizando a Segurança da Informação

    6.1. Organização interna

    6.1.3. Atribuições de responsabilidades para a segurança da informação
    Controle: Convém que todas as responsabilidades pela segurança da informação, estejam claramente definidas.

    "a gestão de vulnerabilidades técnicas "

    12. Aquisição, desenvolvimento e manutenção de sistemas da informação

    12.6. Gestão de vulnerabilidade técnicas 

    Controle: convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.


    "e a gestão de continuidade do negócio."


    14. Gestão de continuidade do negócio

    14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação

    Controle: Convém que um processo de gestão seja desenvolvido e mantido para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização.

    Bons estudos!
    Fernando Palma
    fpalma@portalgsti.com.br


  • Questão correta! Para acertá-la o candidato deveria saber a diferença entre controles essenciais (que envolvem requisitos legais) e controles considerados boas práticas (de SI normalmente utilizadas).

    Vejamos a seção 0.6 da 27.002:
    "0.6 Ponto de partida para a segurança da informação

    Um certo número de controles pode ser considerado um bom ponto de partida para a implementação da segurança da informação. Estes controles são baseados tanto em requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.

    Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo da legislação aplicável:

    a) proteção de dados e privacidade de informações pessoais (ver 15.1.4);

    b) proteção de registros organizacionais (ver 15.1.3);

    c) direitos de propriedade intelectual (ver 15.1.2).

    Os controles considerados práticas para a segurança da informação incluem:

    a) documento da política de segurança da informação (ver 5.1.1);

    b) atribuição de responsabilidades para a segurança da informação (ver 6.1.3);

    c) conscientização, educação e treinamento em segurança da informação (ver 8.2.2);

    d) processamento correto nas aplicações (ver 12.2);

    e) gestão de vulnerabilidades técnicas (ver 12.6);

    f) gestão da continuidade do negócio (ver seção 14);

    g) gestão de incidentes de segurança da informação e melhorias (ver 13.2).

    Esses controles se aplicam para a maioria das organizações e na maioria dos ambientes."