A norma ABNT NBR ISO/IEC 27.001 foi criada para promover um modelo de estabelecer, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Sobre a segurança da informação, NÃO corresponde a um dos seus pilares (propriedades):
Para garantir a segurança dos equipamentos, com o objetivo de impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupção das operações da organização, a ABNT NBR ISO/IEC 27001:2013 estabelece como controle que
Julgue os itens subsequentes, com base na norma NBR ISO/IEC 27001:2009.
As organizações devem estabelecer os objetivos de segurança da informação de forma independente de sua política de segurança da informação.
Dentre os controles mencionados no Anexo A da norma NBR ISO/IEC 27001:2013 está: “Todos os funcionários da organização e, onde pertinente, as partes externas devem receber treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções." Este controle é parte da seção:
Assinale a opção que melhor descreve o princípio geral da norma ISO/IEC 27001.
Julgue o próximo item, a respeito da segurança da informação.
De acordo com a norma ISO 27001, a classificação da informação tem por objetivo oferecer à informação o mais alto nível de proteção disponível, considerando o seu valor, a fonte da informação e o público-alvo.
Julgue os itens subsequentes, com base na norma NBR ISO/IEC 27001:2009.
A referida norma prevê que as organizações estabeleçam e mantenham critérios de riscos de segurança da informação que incluam os critérios de aceitação do risco.
A NBR ISO/IEC 27001 foi preparada para prover requisitos que estabeleçam um sistema de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27002 foi projetada para organizações que usem a norma como uma referência para selecionar controles no processo de implementação do SGSI. Em relação a essas normas, assinale a opção correta.
Assinale a opção que melhor descreve o princípio geral da norma ISO/IEC 27001.
Julgue os itens subsequentes, com base na norma NBR ISO/IEC 27001:2009.
A organização deve determinar e prover recursos necessários a estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão de segurança da informação (SGSI).
De acordo com a NBR ISO/IEC 27001, julgue os itens a seguir, relativos à gestão dos ativos de uma organização.
I A gestão dos ativos mantidos no inventário deve ser realizada por ente terceirizado.
II Ativos associados a informação, recursos e processamento da informação devem ser geridos por gestor com mais tempo de organização e mantidos fisicamente separados dos demais.
III Recursos de processamento da informação devem ser identificados, documentados e implementados, assim como as regras para o uso aceitável das informações e dos ativos associados à informação.
IV Os funcionários e partes externas devem devolver todos os ativos da organização que estejam em sua posse após o encerramento de suas atividades, de contrato ou acordo.
Assinale a opção correta.
De acordo com a ABNT NBR ISO/IEC 27001, a alta direção da organização tem papel fundamental no sistema de gestão de segurança da informação (SGSI). Nesse contexto, ela deve estabelecer uma política de segurança da informação que
De acordo com a ABNT NBR ISO/IEC 27001, entre os controles da organização interna da segurança da informação inclui-se
Um analista de TI foi designado para promover ações que, mediante recursos criptográficos, visam à proteção da confidencialidade, da autenticidade e da integridade das informações de determinada organização. No que se refere a essa situação hipotética, julgue os itens seguintes.
De acordo com a ISO/IEC 27001, um processo de
gerenciamento de chaves deve ser implantado para apoiar o
uso de técnicas criptográficas pela organização.
No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013.
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
