Ao se deparar com possíveis vulnerabilidades dos ativos de TI aos
ataques cibernéticos, Jorge decidiu adotar um Sistema de Gestão
de Segurança da Informação (SGSI). Logo, Jorge percebeu que
para avaliar o desempenho da segurança da informação e a
eficácia do SGSI é necessário reter informação documentada
apropriada como evidência do monitoramento e dos resultados
de medição. Ao consultar a ABNT NBR ISO/IEC 27001:2013, Jorge
observou as seguintes possíveis ações:
I.Sincronizar os relógios de todos os sistemas de processamento
de informações relevantes, dentro da organização ou do
domínio de segurança, com uma fonte de tempo precisa.
II.Proteger as informações dos registros de eventos (log) e seus
recursos contra acesso não autorizado e adulteração.
III.Segregar, em redes, grupos de serviços de informação,
usuários e sistemas de informação.
Para registrar eventos e gerar evidências visando avaliar o SGSI,
Jorge deverá executar:
Com base na norma ISO/IEC 27001, julgue os itens seguintes.
Nesse sentido, considere que a sigla SGSI, sempre que utilizada, se
refere a sistema de gestão de segurança da informação.
A fim de se alcançar a melhoria contínua na implementação e
na operação do SGSI, o Do (fazer) do PDCA executa ações
corretivas e preventivas a partir dos resultados da auditoria
interna do SGSI e da análise crítica pela direção ou de outra
informação pertinente.
A norma ISO27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Com relação ao monitoramento, a organização deve conduzir auditorias internas no SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos de seu SGSI:
I. Obedecem aos requisitos desta Norma e à legislação pertinente ou regulamentos;
II. São executados conforme esperado;
III. Obedecem aos requisitos de segurança da informação identificadas;
IV. São efetivamente implementados e mantidos.
São afirmações corretas: