Gestão de Segurança da Informação

Prévia do material em texto

Prof. Gleyson Azevedo 
 Aula 00 
 
1 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Aula 00 – Gestão de Segurança 
da Informação – I 
 
Segurança da Informação – Analista de Controle 
Externo – Tecnologia da Informação – TCE-RJ 
Prof. Gleyson Azevedo 
Prof. Gleyson Azevedo 
 Aula 00 
 
2 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Sumário 
SUMÁRIO 2 
APRESENTAÇÃO 3 
VISÃO GERAL 5 
NBR ISO/IEC 27001:2013 7 
0. INTRODUÇÃO 9 
1. ESCOPO 10 
2. REFERÊNCIA NORMATIVA 11 
3. TERMOS E DEFINIÇÕES 12 
4. CONTEXTO DA ORGANIZAÇÃO 13 
5. LIDERANÇA 14 
6. PLANEJAMENTO 16 
7. APOIO 18 
8. OPERAÇÃO 20 
9. AVALIAÇÃO DO DESEMPENHO 21 
10. MELHORIA 22 
QUESTÕES COMENTADAS PELO PROFESSOR 23 
LISTA DE QUESTÕES 25 
GABARITO 28 
 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
3 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Apresentação 
 
Olá! Sou o professor Gleyson Azevedo e aqui no Direção Concursos ministro as disciplinas Redes 
de Computadores e Segurança da Informação. Sou formado em Engenharia de Telecomunicações pelo 
Instituto Militar de Engenharia (IME), Rio de Janeiro-RJ. Possuo Mestrado na área de Segurança da 
Informação pela mesma instituição e nessa área atuo há treze anos. 
Sou professor em cursos de pós-graduação nas áreas de Telecomunicações, de Redes de 
Computadores e de Segurança da Informação, participo frequentemente de seminários e de congressos 
proferindo palestras sobre temas como Criptografia, Segurança de Redes e Defesa Cibernética. 
Minha experiência com o mundo dos concursos teve início em 2008 e desde então tenho 
ministrado as disciplinas de Redes de Computadores e de Segurança da Informação em cursos 
preparatórios nas capitais de diversos estados de nosso país. Já ministrei aulas nas cidades de Brasília, 
Rio de Janeiro, Recife, Fortaleza, Belo Horizonte, Salvador e Manaus. 
Mais recentemente, tenho voltado minha atenção para o treinamento de técnicas de estudo, 
neuroaprendizagem e aprendizagem acelerada, sempre com foco na aprovação de alunos e orientandos 
em concursos públicos. 
A disciplina de Redes de Computadores costuma ser um problema para muitos concurseiros da 
área de Tecnologia da Informação (TI), em especial para quem não é do perfil de suporte ou de 
infraestrutura. Nosso trabalho aqui tem por objetivo torná-la absolutamente acessível para todos e 
temos convicção, após onze anos preparando e aprovando percentual expressivo de alunos nos mais 
diversos e importantes concursos do país, que iremos fazer o mesmo por você. 
Neste material você terá: 
 
Curso completo em VÍDEO 
teoria e exercícios resolvidos sobre TODOS os pontos do edital 
 
Curso completo escrito (PDF) 
teoria e MAIS exercícios resolvidos sobre TODOS os pontos do edital 
 
Fórum de Dúvidas 
para você sanar DIRETAMENTE conosco sempre que precisar 
 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
4 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Você está começando agora a estudar para concursos? Não se preocupe! Este curso também te 
atende. Veremos toda a teoria que você precisa e resolveremos muitos exercícios para que você possa 
praticar bastante cada aspecto estudado e entender bem como a banca gosta de cobrar cada tema. 
Minha recomendação nestes casos é que você comece assistindo as videoaulas, para em seguida 
enfrentar as aulas em PDF. Fique à vontade para me procurar no fórum de dúvidas sempre que for 
necessário. 
Caso você queira tirar alguma dúvida antes de adquirir o curso, basta me enviar um email 
(gleyson131@gmail.com) ou um direct pelo Instagram. 
Conheça ainda as minhas outras redes sociais para acompanhar de perto o meu trabalho: 
@gleysonazevedo 
/bloggleysonazevedo 
/gleyson131 
 
 
mailto:gleyson131@gmail.com
Prof. Gleyson Azevedo 
 Aula 00 
 
5 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
 
Visão Geral 
 
A série de normas ISO/IEC 27000 inclui padrões de segurança da informação publicados em 
conjunto pela Organização Internacional de Padronização (International Organization for Standardization 
– ISO) e pela Comissão Eletrotécnica Internacional (International Electrotechnical Commission – IEC). 
A série fornece recomendações de melhores práticas sobre gerenciamento de segurança da 
informação, que compreende o gerenciamento de riscos de segurança da informação por meio de 
controles, no contexto de um Sistema de Gestão de Segurança da Informação (SGSI), com desenho 
similar aos sistemas de gestão para garantia de qualidade (série ISO 9000), de proteção ambiental (série 
ISO 14000) e outros sistemas de gerenciamento. 
O escopo é deliberadamente amplo, abrangendo mais do que apenas questões que envolvem a 
privacidade ou confidencialidade e o contexto TI/técnico/cibersegurança. É aplicável a organizações de 
todas as formas e tamanhos. Todas as organizações são incentivadas a avaliar seus riscos de informação 
e tratá-los, normalmente empregando controles de segurança da informação, de acordo com suas 
necessidades, usando as orientações e sugestões quando relevantes. Dada a natureza dinâmica do risco 
e da segurança da informação, o conceito de SGSI incorpora atividades contínuas de feedback e 
aprimoramento para responder a mudanças nas ameaças, vulnerabilidades ou impactos de incidentes. 
Os padrões são produto do trabalho desenvolvido pelo Subcomitê 27 (SC27), do Comitê Técnico 
Conjunto 1 (JTC1) da ISO/IEC, um organismo internacional que se reúne pessoalmente duas vezes por 
ano. 
CONTEXTO HISTÓRICO 
Muitas pessoas e organizações estão envolvidas no desenvolvimento e manutenção dos padrões 
ISO27000. A primeira norma da série foi a ISO/IEC 17799:2000, que era baseada no padrão britânico BS 
7799 parte 1: 1999. Por sua vez, a versão inicial do BS 7799 foi baseada, em parte, em um manual de 
política de segurança da informação desenvolvido pelo Royal Dutch/Shell Group entre o final dos anos 
80 e início dos anos 90. Em 1993, o que era então o Departamento de Comércio e Indústria (Reino Unido) 
reuniu uma equipe para revisar as práticas existentes em segurança da informação, com o objetivo de 
produzir um documento normativo. Em 1995, o Grupo BSI publicou a primeira versão do BS 7799. A 
ISO/IEC 17799:2000 foi revisada em 2005 e teve seu nome modificado em 2007, passando a se chamar 
ISO/IEC 27002:2005. Essa norma foi revisada, dando origem à ISO/IEC 27002:2013. 
A segunda parte da BS7799 foi publicada pela primeira vez pela BSI em 1999, conhecida como BS 
7799 Parte 2, e intitulada "Sistemas de Gestão de Segurança da Informação – Especificação com 
Orientações para Uso". A BS 7799-2 focou em como implementar um sistema de gestão de segurança da 
informação (SGSI), referindo-se à estrutura e aos controles necessários ao gerenciamento da segurança 
da informação identificados na BS 7799-2. Ela se tornou mais tarde a ISO/IEC 27001:2005. Por fim, a 
revisão dessa norma deu origem à atual ISO/IEC 27001:2013. 
Prof. Gleyson Azevedo 
 Aula 00 
 
6 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
A BS 7799 Parte 3 foi publicada em 2005, cobrindo análise e gerenciamento de riscos. Está 
alinhada com a ISO / IEC 27001: 2005 e fomentou a produção da norma ISO/IEC 27005:2008. A versão 
atual dessa norma é a 
NORMAS MAIS RELEVANTES 
Seguem abaixo as principais normas dessa família: 
• ISO/IEC 27000 – Princípios e Vocabulário. Define a nomenclatura utilizada nas normas 
seguintes da família 27000. 
• ISO/IEC 27001 – Tecnologia daInformação – Técnicas de segurança – Sistemas de Gestão de 
Segurança da Informação – Requisitos. Única norma da família 27000 que é passível de certificação 
acreditada. Todas as seguintes são apenas guias de boas práticas. 
• ISO/IEC 27002 – Tecnologia da informação – Técnicas de segurança – Código de prática para 
controles de segurança da informação. Apresenta um rol de objetivos de controle e de controles de 
segurança da informação. 
• ISO/IEC 27003 – Tecnologia da informação – Técnicas de Segurança – Sistemas de gestão de 
segurança da informação – Guia de Boas Práticas. Serve como guia para auxiliar a implantação de um 
SGSI na forma de projeto. 
• ISO/IEC 27004 – Tecnologia da informação – Técnicas de segurança – Gestão da segurança da 
informação – Monitorização, medição, análise e avaliação. Serve de orientação para a medição da 
eficácia de controles. 
• ISO/IEC 27005 – Tecnologia da informação – Técnicas de segurança – Gestão de riscos da 
segurança da informação. Compreende parte essencial do processo executado para manter um SGSI. 
• ISO/IEC 27006 – Tecnologia da informação – Técnicas de segurança – Requisitos para corpo 
de auditoria e certificação de sistemas de gestão da segurança da informação. Utilizada por auditores, 
juntamente com a ISO/IEC 19011, para a realização de auditoria em organizações que desejem 
• ISO/IEC 27007 – Tecnologia da informação – Técnicas de segurança – Diretrizes para auditoria 
de sistemas de gestão da segurança da informação. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
7 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
NBR ISO/IEC 27001:2013 
 
ESTRUTURA 
Conhecer a estrutura da norma é fundamental e é importante que se saiba exatamente os títulos 
e do que trata cada uma das seções. 
A norma ABNT NBR ISO/IEC 27001:2013 possui a seguinte estrutura: 
0. Introdução 
0.1 Geral 
0.2 Compatibilidade com outras normas de sistemas de gestão 
1. Escopo 
2. Referência normativa 
3. Termos e definições 
4. Contexto da organização 
4.1 Entendendo a organização e seu contexto 
4.2 Entendendo as necessidades e as expectativas das partes interessadas 
4.3 Determinando o escopo do sistema de gestão da segurança da informação 
4.4 Sistema de gestão da segurança da informação 
5. Liderança 
5.1 Liderança e comprometimento 
5.2 Política 
5.3 Autoridades, responsabilidades e papéis organizacionais 
6. Planejamento 
6.1 Ações para contemplar riscos e oportunidades 
6.2 Objetivo de segurança da informação e planejamento para alcançá-los 
7. Apoio 
7.1 Recursos 
7.2 Competência 
7.3 Conscientização 
7.4 Comunicação 
Prof. Gleyson Azevedo 
 Aula 00 
 
8 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
7.5 Informação documentada 
8. Operação 
8.1 Planejamento operacional e controle 
8.2 Avaliação de riscos de segurança da informação 
8.3 Tratamento de riscos de segurança da informação 
9. Avaliação do desempenho 
9.1 Monitoramento, medição, análise e avaliação 
9.2 Auditoria interna 
9.3 Análise crítica pela Direção 
10. Melhoria 
10.1 Não conformidade e ação corretiva 
10.2 Melhoria contínua 
Anexo A (normativo) – Referência aos controles e objetivos de controles 
Atenção especial deve ser dada ao anexo A desta norma, que é um quadro resumo com todos os 
objetivos de controle e controles da norma ABNT NBR ISO/IEC 27002:2013. Todavia, enquanto a 27001 
só possui a citação dos controles, os detalhes e as diretrizes para implementação deles estão somente 
na norma 27002. 
Ao longo do texto a seguir, dê atenção especial a todas as partes que se encontrarem destacadas 
em negrito, pois além delas observarem pontos importantes do texto normativo, já foram ou possuem 
grande potencial de cobrança em questões de prova. 
Para facilitar a diferenciação, doravante, os comentários do professor estarão em itálico. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
9 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
0. Introdução 
 
0.1 GERAL 
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e 
melhorar continuamente (EIMM) um sistema de gestão de segurança da informação (SGSI). 
A adoção de um SGSI é uma decisão estratégica para uma organização. 
O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas 
suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho 
e estrutura da organização. 
É esperado que todos estes fatores de influência mudem ao longo do tempo. 
O SGSI preserva a confidencialidade, integridade e disponibilidade da informação por meio da 
aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que 
os riscos são adequadamente gerenciados. 
É importante que um SGSI seja parte de, e esteja integrado com, os processos da organização 
e com a estrutura de administração global, e que a segurança da informação seja considerada no 
projeto dos processos, sistemas de informação e controles. 
É esperado que a implementação de um SGSI seja planejada de acordo com as necessidades da 
organização. 
Esta Norma pode ser usada por partes internas e externas, para avaliar a capacidade da 
organização em atender aos seus próprios requisitos de segurança da informação. 
A ordem na qual os requisitos são apresentados nesta Norma não reflete sua importância nem 
implica a ordem em que devem ser implementados. Os itens listados são numerados apenas para fins de 
referência. 
0.2 COMPATIBILIDADE COM OUTRAS NORMAS DE SISTEMAS DE GESTÃO 
Esta Norma aplica a estrutura de alto nível, os títulos de subseções idênticos, textos idênticos, 
termos comuns e definições básicas, apresentadas no Anexo SL da ISO/IEC Directives, Part 1, 
Consolidated ISO Supplement, mantendo desta forma a compatibilidade com outras normas de 
sistemas de gestão que adotaram o Anexo SL. 
Esta abordagem comum definida no Anexo SL será útil para aquelas organizações que escolhem 
operar um único sistema de gestão que atenda aos requisitos de duas ou mais normas de sistemas 
de gestão. 
O objetivo dessa subseção é dizer que, caso uma organização deseje possuir um sistema de gestão 
que compreenda a aplicação de duas ou mais normas de sistemas de gestão, como um sistema de gestão de 
qualidade (ISO 9001), um sistema de gestão ambiental (ISO 14001) e um SGSI (ISO 27001), esse processo 
seria facilitado devido a essas três normas possuírem estrutura idêntica, o que facilitaria o entendimento e a 
aplicação delas. 
Prof. Gleyson Azevedo 
 Aula 00 
 
10 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
1. Escopo 
 
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar 
continuamente um SGSI dentro do contexto da organização. 
Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da 
informação voltados para as necessidades da organização. 
Os requisitos definidos nesta Norma são genéricos e são pretendidos para serem aplicáveis a 
todas as organizações, independentemente do tipo, tamanho ou natureza. 
A exclusão de quaisquer dos requisitos especificados nas Seções 4 a 10 não é aceitável quando 
a organização busca a conformidade com esta Norma. 
Requisitos, segundo essa norma, são obrigações que devem ser atendidas para que se esteja em 
conformidade com o texto normativo. Eles estão dispostos entre as seções 4 e 10, inclusive. Desta forma, 
caso uma organização deseje pleitear obter a certificação com esta norma, ela não poderá deixar de, em 
hipótese alguma, cumprir todos requisitos previstos. 
É importante não confundir os requisitos da 27001com requisitos de segurança da informação. Estes 
últimos podem ser entendidos como necessidades de segurança e serão explicados adequadamente na 
discussão da norma 27002. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
11 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
2. Referência Normativa 
 
O documento relacionado a seguir é indispensável à aplicação deste documento: 
• ISO/IEC 27000, Information technology – Security techniques – Information security 
management systems – Overview and vocabular. 
Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, 
aplicam-se as edições mais recentes do referido documento (incluindo emendas). 
A 27001:2006 colocava a norma 27002 como indispensável à sua aplicação. Na 27001:2013, a 
referência é exclusivamente a 27000, que é uma norma de definições e visão geral de segurança da 
informação. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
12 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
3. Termos e Definições 
 
Para os efeitos deste documento, aplicam-se os termos e definições apresentados na ISO/IEC 
27000. 
A versão atual da norma não traz qualquer termo ou definição. Todavia, seguem alguns exemplos de 
termos e definições importantes presentes na versão antiga e que já foram objeto de cobrança em questões 
de prova: 
• Sistema de Gestão da Segurança da Informação (SGSI) – a parte do sistema de gestão global, 
baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar (EIOMAMM) a segurança da informação. Inclui: estrutura organizacional, 
políticas, planejamento de atividades, responsabilidades, práticas, procedimentos, processos e recursos. 
• Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, 
serviço ou rede indicando uma possível violação da política de segurança da informação ou falha de 
controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da 
informação. 
• Incidente de segurança da informação – um simples ou uma série de eventos de segurança da 
informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as 
operações do negócio e ameaçar a segurança da informação. Pode-se simplificadamente afirmar que é um 
conjunto de eventos e é crítico, enquanto o evento de segurança da informação é apenas relevante. 
• Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade 
autorizada. 
• Confidencialidade – propriedade de que a informação não esteja disponível ou revelada a 
indivíduos, entidades ou processos não autorizados. 
• Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. 
• Ativo – qualquer coisa que tenha valor para a organização. 
• Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle 
e controles que são pertinentes e aplicáveis ao SGSI da organização. 
 
 
 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
13 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
4. Contexto da Organização 
 
A partir daqui começam os requisitos da norma 27001:2013. 
4.1 ENTENDENDO A ORGANIZAÇÃO E SEU CONTEXTO 
A organização deve determinar as questões internas e externas que são relevantes para o seu 
propósito e que afetam sua capacidade para alcançar os resultados pretendidos do seu SGSI. 
Nota: A determinação destas questões refere-se ao estabelecimento do contexto interno e 
externo da organização apresentado em 5.3 da ABNT NBR ISO 31000:2009. 
A despeito da norma ISO/IEC 27005 versar sobre riscos de segurança da informação, a norma 27001 
não faz qualquer referência a ela em seu texto. Mais que isso: todas as referências que ela faz a norma que 
trate de riscos são direcionadas à 31000. 
4.2 ENTENDENDO AS NECESSIDADES E AS EXPECTATIVAS DAS PARTES INTERESSADAS 
A organização deve determinar: 
• as partes interessadas que são relevantes para o SGSI; 
• os requisitos dessas partes interessadas relevantes para a segurança da informação. 
NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulamentares, 
bem como obrigações contratuais. 
4.3 DETERMINANDO O ESCOPO DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO 
A organização deve determinar os limites e a aplicabilidade do SGSI para estabelecer o seu 
escopo. 
Quando da determinação deste escopo, a organização deve considerar: 
• as questões internas e externas referenciadas em 4.1; 
• os requisitos referenciados em 4.2; e 
• as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas 
que são desempenhadas por outras organizações. 
O escopo deve estar disponível como informação documentada. 
Todas as vezes que a norma cita que algo deve estar disponível como informação documentada, isso 
significa que aquilo se trata de evidência de auditoria de que requisito(s) da norma está(ão) sendo 
cumprido(s). 
4.4 SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO 
A organização deve estabelecer, implementar, manter e continuamente melhorar um SGSI, de 
acordo com os requisitos desta Norma. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
14 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
5. Liderança 
 
Esta é uma das seções mais cobradas da norma em questões de prova e o estudo dela deve ser o mais 
minucioso possível. 
5.1 LIDERANÇA E COMPROMETIMENTO 
A Alta Direção deve demonstrar sua liderança e comprometimento em relação ao SGSI pelos 
seguintes meios: 
• assegurando que a política de segurança da informação e os objetivos de segurança da 
informação estão estabelecidos e são compatíveis com a direção estratégica da organização; 
• garantindo a integração dos requisitos do SGSI dentro dos processos da organização; 
• assegurando que os recursos necessários para o SGSI estão disponíveis; 
• comunicando a importância de uma gestão eficaz da segurança da informação e da 
conformidade com os requisitos do SGSI; 
• assegurando que o SGSI alcança seus resultados pretendidos; 
• orientando e apoiando pessoas que contribuam para eficácia do SGSI; 
• promovendo a melhoria contínua; 
• apoiando outros papéis relevantes da gestão para demonstrar como sua liderança se aplica 
às áreas sob sua responsabilidade. 
Apesar de todos os requisitos acima serem importantes, dê especial atenção aos três primeiros. 
Particularmente, perceba que o terceiro diz que a responsabilidade da alta direção no tocante a recursos é, 
especificamente, assegurar a sua disponibilidade. Compare com o disposto no item 7.1. 
5.2 POLÍTICA 
A Alta Direção deve estabelecer uma política de segurança da informação que: 
• seja apropriada ao propósito da organização; 
• inclua os objetivos de segurança da informação (ver 6.2) ou forneça a estrutura para 
estabelecer os objetivos de segurança da informação; 
• inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a 
segurança da informação; 
• inclua o comprometimento com a melhoria contínua do SGSI. 
A política de segurança da informação deve: 
• estar disponível como informação documentada; 
• ser comunicada dentro da organização; e 
• estar disponível para as partes interessadas, conforme apropriado. 
5.3 AUTORIDADES, RESPONSABILIDADES E PAPÉIS ORGANIZACIONAIS 
A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para 
a segurança da informação sejam atribuídos e comunicados. 
A Alta Direção deve atribuir a responsabilidade e autoridade para: 
Prof. Gleyson Azevedo 
 Aula 00 
 
15 de 28 | www.direcaoconcursos.com.brSegurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
• assegurar que o SGSI está em conformidade com os requisitos da Norma; 
• relatar sobre o desempenho do SGSI para a Alta Direção. 
NOTA: A Alta Direção pode também atribuir responsabilidades e autoridades para relatar o 
desempenho do SGSI dentro da organização. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
16 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
6. Planejamento 
 
Assim como a anterior, esta é também uma seção bastante cobrada em questões de prova. Deve-se 
dar especial atenção aos itens 6.1.2, 6.1.3 e 6.2. 
6.1 AÇÕES PARA CONTEMPLAR RISCOS E OPORTUNIDADES 
6.1.1 GERAL 
A organização deve planejar: 
• as ações para considerar estes riscos e oportunidades; e 
• como 
• integrar e implementar estas ações dentro dos processos do seu SGSI; e 
• avaliar a eficácia destas ações. 
6.1.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 
A organização deve definir e aplicar um processo de avaliação de riscos de segurança da 
informação que: 
• estabeleça e mantenha critérios de riscos de segurança da informação que incluam: 
• os critérios de aceitação do risco; e 
• os critérios para o desempenho das avaliações dos riscos de segurança da informação; 
• assegure que as contínuas avaliações de riscos de segurança da informação produzam 
resultados comparáveis, válidos e consistentes; 
• identifique os riscos de segurança da informação: 
• analise os riscos de segurança da informação: 
• avalie os riscos de segurança da informação: 
• compare os resultados da análise dos riscos com os critérios de riscos estabelecidos; e 
• priorize os riscos analisados para o tratamento do risco. 
A organização deve reter informação documentada sobre o processo de avaliação de risco de 
segurança da informação. 
É importante observar duas questões aqui: 
1) o processo de avaliação de riscos descrito aqui contempla o estabelecimento de critérios de risco, 
que não é tarefa efetivamente relacionada a esse processo, mas à definição de contexto, segundo a norma 
27005; 
2) maiores detalhes sobre as ações executadas em cada uma das fases do processo de avaliação de 
riscos serão vistos no estudo da norma 27005. 
6.1.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da 
informação para: 
• selecionar as opções de tratamento dos riscos, levando em consideração os resultados da 
avaliação do risco; 
Prof. Gleyson Azevedo 
 Aula 00 
 
17 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
• determinar todos os controles que são necessários para implementar as opções escolhidas 
do tratamento do risco; 
• comparar os controles determinados com aqueles do Anexo A e verificar se algum controle 
necessário foi omitido; 
• elaborar uma declaração de aplicabilidade que contenha os controles necessários e a 
justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão 
dos controles do Anexo A; 
• preparar um plano para tratamento dos riscos de segurança da informação; 
• obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de 
segurança da informação e a aceitação dos riscos residuais de segurança da informação. 
A organização deve reter a informação documentada relativa ao processo de tratamento dos 
riscos de segurança da informação. 
NOTA: O processo de tratamento e a avaliação dos riscos de segurança da informação desta 
Norma estão alinhados com os princípios e diretrizes gerais definidos na ABNT NBR ISO 31000. 
Na 27001:2006, os controles eram escolhidos tendo como referência inicial o anexo A da norma e 
depois outros controles podiam complementar o rol de escolhas. Na versão atual, a ordem é: primeiro são 
escolhidos os controles desejáveis, depois a lista é comparada com o anexo A para verificar eventuais 
omissões. 
Mais uma vez a norma citada no tocante ao gerenciamento de riscos é a 31000 e não a 27005, como 
se poderia imaginar. 
6.2 OBJETIVO DE SEGURANÇA DA INFORMAÇÃO E PLANEJAMENTO PARA ALCANÇÁ-LOS 
A organização deve estabelecer os objetivos de segurança da informação para as funções e níveis 
relevantes. 
Os objetivos de segurança da informação devem ser: 
• consistentes com a política de segurança da informação; 
• ser mensuráveis (quando aplicável); 
• levar em conta os requisitos de segurança da informação aplicáveis e os resultados da 
avaliação e tratamento dos riscos; 
• ser comunicados; e 
• ser atualizados, conforme apropriado. 
A organização deve reter informação documentada dos objetivos de segurança da informação. 
Quando do planejamento para alcançar os seus objetivos de segurança da informação, a 
organização deve determinar: 
• o que será feito; 
• quais recursos serão necessários; 
• quem será responsável; 
• quando estará concluído; 
• como os resultados serão avaliados. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
18 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
7. Apoio 
 
Uma diferença marcante entre a 27001:2013 e a 27001:2006 está na não citação textual do ciclo 
PDCA na versão mais recente. Depreende-se que este ciclo ocorre de forma implícita, mas não é citado 
diretamente. 
A despeito disso, é comum a percepção de que as seções 4 a 7 compreenderiam o processo de 
planejamento (Plan), a seção 8 a execução (Do), a seção 9 a verificação (Check) e a seção 10 a ação corretiva 
(Act). Fazendo paralelo disso com os verbos auxiliares comumente empregados em relação a essas etapas 
do PDCA, a saber, estabelecer (Plan), implementar e operar (Do), monitorar e analisar criticamente (Check), 
manter e melhorar (Act), pode-se afirmar que as seções 4 a 7 correspondem ao estabelecimento do SGSI. 
Esse tipo de associação já foi objeto de cobrança em provas de concurso público. 
7.1 RECURSOS 
A organização deve determinar e prover recursos necessários para o estabelecimento, 
implementação, manutenção e melhoria contínua do SGSI. 
Observe que nesta norma há dois requisitos relacionados com recursos e com dois responsáveis 
distintos: 
1) determinar e prover recursos – a organização; 
2) assegurar a disponibilidade de recursos – alta direção (ver 5.1 da norma). 
7.2 COMPETÊNCIA 
A organização deve: 
• determinar a competência necessária das pessoas que realizam trabalho sob o seu controle 
e que afeta o desempenho da segurança da informação; 
• assegurar que essas pessoas são competentes, com base na educação, treinamento ou 
experiência apropriados; 
• onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das 
ações tomadas; e 
• reter informação documentada apropriada como evidência da competência. 
NOTA: ações apropriadas podem incluir, por exemplo: fornecimento de treinamento para os 
facilitadores, os funcionários atuais ou pessoas competentes, próprias ou contratadas. 
7.3 CONSCIENTIZAÇÃO 
Pessoas que realizam trabalho sob o controle da organização devem estar cientes da: 
• política de segurança da informação; 
• suas contribuições para a eficácia do SGSI, incluindo os benefícios da melhoria do desempenho 
da segurança da informação; 
• implicações da não conformidade com os requisitos do SGSI. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
19 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
7.4 COMUNICAÇÃO 
A organização deve determinar as comunicações internas e externas relevantes para o SGSI 
incluindo: 
• o que comunicar; 
• quando comunicar; 
• quem comunicar; 
• quem será comunicado; e 
• o processo pelo qual a comunicação será realizada.7.5 INFORMAÇÃO DOCUMENTADA 
7.5.1 GERAL 
O SGSI da organização deve incluir: 
• informação documentada requerida por esta Norma; 
• informação documentada determinada pela organização como sendo necessária para a 
eficácia do SGSI. 
7.5.2 CRIANDO E ATUALIZANDO 
Quando da criação e atualização da informação documentada, a organização deve assegurar, de 
forma apropriada: 
• identificação e descrição (por exemplo, título, data, autor ou um número de referência); 
• formato (por exemplo, linguagem, versão do software, gráficos) e o seu meio (por exemplo, 
papel, eletrônico); 
• análise crítica e aprovação para pertinência e adequação. 
7.5.3 CONTROLE DA INFORMAÇÃO DOCUMENTADA 
A informação documentada requerida pelo SGSI e por esta Norma deve ser controlada para 
assegurar que: 
• esteja disponível e adequada para o uso, onde e quando necessário; 
• esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso 
indevido ou perda de integridade). 
Para o controle da informação documentada, a organização deve considerar as seguintes 
atividades, conforme aplicadas: 
• distribuição, acesso, recuperação e uso; 
• armazenagem e preservação, incluindo a preservação da legibilidade; 
• controle de mudanças (por exemplo, controle de versão); 
• retenção e disposição. 
A informação documentada de origem externa, determinada pela organização como necessária 
para o planejamento e operação do SGSI, deve ser identificada como apropriado, e controlada. 
NOTA: O acesso implica em uma decisão quanto à permissão para apenas ler a informação 
documentada ou a permissão e autoridade para ver e alterar a informação documentada. 
Prof. Gleyson Azevedo 
 Aula 00 
 
20 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
8. Operação 
 
8.1 PLANEJAMENTO OPERACIONAL E CONTROLE 
A organização deve planejar, implementar e controlar os processos necessários para atender aos 
requisitos de segurança da informação e para implementar as ações determinadas em 6.1. 
A organização deve também implementar planos para alcançar os objetivos de segurança da 
informação determinados em 6.2. 
A organização deve manter a informação documentada na abrangência necessária para gerar 
confiança de que os processos estão sendo realizados conforme planejado. 
A organização deve controlar as mudanças planejadas e analisar criticamente as consequências 
de mudanças não previstas, tomando ações para mitigar quaisquer efeitos adversos, conforme 
necessário. 
A organização deve assegurar que os processos terceirizados estão determinados e são 
controlados. 
8.2 AVALIAÇÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 
A organização deve realizar avaliações de riscos de segurança da informação a intervalos 
planejados, ou quando mudanças significativas são propostas ou ocorrem, levando em conta os 
critérios estabelecidos em 6.1.2. 
A organização deve reter informação documentada dos resultados das avaliações de risco de 
segurança da informação. 
Observe que, diferentemente do disposto em 6.1.2, onde a organização deveria “definir e aplicar um 
processo de avaliação de riscos de segurança da informação”, aqui a atribuição é de realização da avaliação 
de risco, o que corrobora a visão de planejamento da seção 6 em contraste com a execução, que é o objetivo 
da seção 8. 
8.3 TRATAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO 
A organização deve implementar o plano de tratamento de riscos de segurança da informação. 
A organização deve reter informação documentada dos resultados do tratamento dos riscos. 
Em relação ao disposto em 6.1.3, o disposto aqui corresponde à finalização do processo de 
tratamento de risco, que compreenderia a implementação do plano elaborado na fase de planejamento. 
 
 
 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
21 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
9. Avaliação do desempenho 
 
9.1 MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO 
A organização deve avaliar o desempenho da segurança da informação e a eficácia do SGSI. 
A organização deve determinar: 
• o que precisa ser monitorado e medido, incluindo controles e processos de segurança da 
informação; 
• os métodos para monitoramento, medição, análise e avaliação, conforme aplicável, para 
assegurar resultados válidos; 
• quando o monitoramento e a medição devem ser realizados; 
• o que deve ser monitorado e medido; 
• quando os resultados do monitoramento e da medição devem ser analisados e avaliados; 
• quem deve analisar e avaliar estes resultados. 
A organização deve reter informação documentada apropriada como evidência do 
monitoramento e dos resultados da medição. 
9.2 AUDITORIA INTERNA 
A organização deve conduzir auditorias internas a intervalos planejados para prover 
informações sobre o quanto o SGSI está em conformidade com os próprios requisitos da organização e 
com os requisitos desta Norma e está efetivamente implementado e mantido. 
Duas observações importantes: 
1) a responsabilidade pela condução das auditorias internas é da organização e não da alta direção 
ou qualquer outra entidade; 
2) a norma não determina uma periodicidade específica para essas auditorias. 
9.3 ANÁLISE CRÍTICA PELA DIREÇÃO 
A Alta Direção deve analisar criticamente o SGSI da organização a intervalos planejados, para 
assegurar a sua contínua adequação, pertinência e eficácia. 
Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para 
melhoria contínua e quaisquer necessidades para mudanças do SGSI. 
A organização deve reter informação documentada como evidência dos resultados das análises 
críticas pela Direção. 
A “análise crítica” nessa e em outras normas é um processo que tem como entrada uma série de 
informações, inclusive análises crítica anteriores, e produz como saída tipicamente decisões voltadas para 
melhoria. 
Repare que nesta norma os requisitos relacionados com a alta direção não ficam restritos à seção 5. 
Prof. Gleyson Azevedo 
 Aula 00 
 
22 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
10. Melhoria 
 
10.1 NÃO CONFORMIDADE E AÇÃO CORRETIVA 
Quando uma não conformidade ocorre, a organização deve: 
• reagir a não conformidade e, conforme apropriado: 
• tomar ações para controlar e corrigi-la; e 
• tratar com as consequências; 
• avaliar a necessidade de ações para eliminar as causas de não conformidade, para evitar sua 
repetição ou ocorrência, por um dos seguintes meios: 
• analisando criticamente a não conformidade; 
• determinando as causas da não conformidade; e 
• determinando se não conformidades similares existem, ou podem potencialmente ocorrer. 
• implementar quaisquer ações necessárias; 
• analisar criticamente a eficácia de quaisquer ações corretivas tomadas; e 
• realizar mudanças no sistema de gestão da segurança da informação, quando necessário. 
As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas. 
A organização deve reter informação documentada como evidência da: 
• natureza das não conformidades e quaisquer ações subsequentes tomadas; e 
• resultados de qualquer ação corretiva. 
A versão anterior dessa norma contemplava, além das ações corretivas, outras de natureza 
preventiva, que deviam ser adotadas como solução para não conformidades potenciais. Na versão atual não 
há citação desse tipo de não conformidade, nem tampouco de ações preventivas. 
10.2 MELHORIA CONTÍNUA 
A organização deve continuamente melhorar a pertinência, adequação e eficácia do SGSI. 
Prof. Gleyson Azevedo 
 Aula 00 
 
23 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Questões comentadaspelo professor 
1. (CESPE – TCU – Auditor Federal de Controle Externo – Auditoria de Tecnologia da Informação – 2015) 
Na especificação e na implementação do SGSI, devem se considerar as necessidades, os objetivos e os 
requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua 
estrutura. 
Comentários: 
Segundo a subseção 0.1 da norma, “o estabelecimento e a implementação do SGSI de uma 
organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos 
organizacionais usados, tamanho e estrutura da organização.” 
 Resposta: item ERRADO. 
2. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016) 
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas 
formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI. 
Comentários: 
De acordo com a seção 1 da norma 27001, que define o seu escopo, “a exclusão de quaisquer dos 
requisitos especificados nas Seções 4 a 10 não é aceitável quando a organização busca a conformidade 
com esta Norma”. 
 Resposta: item ERRADO. 
3. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018) 
As organizações devem estabelecer os objetivos de segurança da informação de forma independente de sua 
política de segurança da informação. 
Comentários: 
De acordo com a subseção 5.2 da norma 27001, a política de segurança da informação deve incluir 
os objetivos de segurança da informação ou fornecer estrutura para estabelecê-los. Ainda de acordo com 
a subseção 6.2 da referida norma, os objetivos de segurança da informação devem ser consistentes com 
a política de segurança da informação. 
Resposta: item ERRADO. 
4. (CESPE – PJM-CGM – Auditor Municipal de Controle Interno – Desenvolvimento de Sistemas – 2018) 
A referida norma prevê que as organizações estabeleçam e mantenham critérios de riscos de segurança da 
informação que incluam os critérios de aceitação do risco. 
Comentários: 
O texto da questão está em concordância com o disposto na subseção 6.1.2, que afirma: “A 
organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação que 
Prof. Gleyson Azevedo 
 Aula 00 
 
24 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
estabeleça e mantenha critérios de riscos de segurança da informação que incluam os critérios de 
aceitação do risco”. 
Resposta: item CERTO. 
5. (CESPE – MEC-OS – Administrador de Rede – 2015) 
De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema 
de gerenciamento de segurança da informação. 
Comentários: 
Nessa norma não há referência a outra modalidade de auditoria que não seja a interna, que é um 
dos processos mais relevantes que integra o ciclo do SGSI e que é detalhada na subseção 9.2. 
Resposta: item ERRADO. 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
25 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Lista de Questões 
1. (CESPE – BB CERTIFICAÇÃO – 19.º CERTAME – Gestão de Segurança – 2016) 
A norma ABNT NBR ISO/IEC 27001: 2013 especifica os requisitos para estabelecer, implementar, manter e 
melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. 
De acordo com essa norma, a alta direção é responsável por ações específicas no que concerne à liderança e 
comprometimento, à política da informação de segurança, às autoridades, responsabilidades e papéis 
organizacionais. 
ABNT NBR ISO/IEC 27001 :2013 (com adaptações). 
Uma ação específica da alta direção da organização, no que concerne à política de segurança da informação, é a 
de 
(A) incluir o seu comprometimento com a melhoria contínua do sistema de gestão da segurança da informação. 
(B) apoiar outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua 
responsabilidade. 
(C) assegurar que a política de segurança da informação está estabelecida e é compatível com a direção 
estratégica da organização. 
(D) comunicar a importância de uma gestão eficaz da segurança da informação e da conformidade com os 
requisitos do sistema de gestão da segurança da informação. 
(E) atribuir responsabilidade e autoridade para assegurar que o sistema de gestão da segurança da informação 
está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001. 
 2. (CESPE – TRT-7 – Analista Judiciário – Tecnologia da Informação – 2017) 
De acordo com a ABNT NBR ISO/IEC 27001, a alta direção da organização tem papel fundamental no sistema de 
gestão de segurança da informação (SGSI). Nesse contexto, ela deve estabelecer uma política de segurança da 
informação que 
(A) inclua o comprometimento com a melhoria contínua do SGSI. 
(B) reduza efeitos indesejados. 
(C) informe responsáveis por cada ativo de informação. 
(D) crie mecanismos de avaliação de riscos compatíveis com o framework Cobit 5. 
 3. (CESPE – TRT-8 – Analista Judiciário – Tecnologia da Informação – 2015) 
De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que 
(A) esteja alinhada com o contexto estratégico de gestão de riscos da organização. 
(B) seja escrita essencialmente com base em um modelo de SGSI padronizado para organizações de porte 
similar. 
(C) inclua, em seu texto, um estudo detalhado dos riscos previamente avaliados. 
(D) seja elaborada pela direção e formalmente aprovada pela maioria dos empregados da organização. 
(E) seja totalmente independente de requisitos legais e desvinculada de obrigações contratuais. 
Prof. Gleyson Azevedo 
 Aula 00 
 
26 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
 4. (CESPE – CGE-CE – Analista de Tecnologia da Informação –Desenvolvimento de Sistemas – 2019) 
De acordo com NBR ISO/IEC 27001, em um sistema de gestão de segurança da informação (SGSI), o escopo é 
definido na fase 
(A) melhorar. 
(B) analisar. 
(C) estabelecer. 
(D) implementar. 
(E) manter. 
 5. (CESPE – TCE-RO – Analista de Tecnologia da Informação – Desenvolvimento de Sistemas – 2019) 
De acordo com a NBR ISO/IEC n.º 27001:2013, a alta direção de uma organização deve demonstrar liderança e 
comprometimento em relação ao sistema de gestão da segurança da informação. Para isso, ela deve 
I assegurar que a política de segurança da informação seja compatível com a direção estratégica da organização. 
II comunicar a importância da conformidade com os requisitos do sistema de gestão da segurança da 
informação. 
III analisar criticamente os códigos quanto ao uso de técnicas de programação segura. 
IV orientar pessoas que contribuam para a eficácia do sistema de gestão da segurança da informação. 
Estão certos apenas os itens 
A I e II. 
B I e III. 
C III e IV. 
D I, II e IV. 
E II, III e IV. 
Com base no disposto na NBR ISO/IEC 27001:2013, julgue o item a seguir, relativo à gestão de segurança da 
informação. 
 6. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016) 
Devido a seu conteúdo confidencial e estratégico, a política de segurança da informação de uma organização 
deve estar disponível, como informação documentada, exclusivamente para a alta gerência. 
 7. (CESPE – PMJP-CMJP – Auditor Municipal de Controle Interno – Tecnologia da Informação – 
Desenvolvimento de Sistemas – 2018) 
A organização deve determinar e prover recursos necessários a estabelecimento, implementação, manutenção e 
melhoria contínua do sistema de gestão de segurança da informação (SGSI). 
 8. (CESPE – TCE-PA – Auditor de Controle Externo – Analista de Segurança – 2016) 
Para reivindicar conformidade coma referida norma, uma organização poderá excluir, sem justificativas formais, 
requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI. 
Prof. Gleyson Azevedo 
 Aula 00 
 
27 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
 9. (CESPE – TJDFT – Analista Judiciário – Análise de Sistemas – 2015) 
Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de 
gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades 
de controle. 
 10. (CESPE – STJ – Analista Judiciário – Suporte em Tecnologia da Informação – 2015) 
De acordo com a norma ISO 27001, o sistema de gerenciamento da segurança da informação deve ser revisado 
regularmente, considerando-se as sugestões e os feedbacks das partes interessadas. 
 
 
 
 
 
 
 
 
 
Prof. Gleyson Azevedo 
 Aula 00 
 
28 de 28 | www.direcaoconcursos.com.br 
Segurança da Informação – Analista de Controle Externo – Tecnologia da 
Informação – TCE-RJ 
 
Gabarito 
1. C 
2. A 
3. A 
4. C 
5. D 
6. E 
7. C 
8. E 
9. E 
10. C