Exam_ismp_201812

Prévia do material em texto

Exame simulado 
Edição 201812 
Highlight
Highlight
Highlight
Highlight
Highlight
Highlight
Highlight
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
2 
 
Copyright © EXIN Holding B.V. 2018. All rights reserved. 
EXIN® is a registered trademark. 
 
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic, 
mechanical, or otherwise, without the prior written permission from EXIN. 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
3 
Conteúdo 
Introductie 4 
Voorbeeldexamen 5 
AntwoordsleutelError! Bookmark not defined. 
EvaluatieError! Bookmark not defined. 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
4 
Introdução 
Este é o modelo de exame de EXIN Information Security Management Professional based on 
ISO/IEC 27001 (ISMP.PR). As regras e regulamentos do exame do EXIN se aplicam a este exame. 
 
Este exame consiste de 30 questões de múltipla escolha. Cada questão de múltipla escolha possui 
um certo número de alternativas de resposta, entre as quais somente uma resposta é a correta. 
 
O número máximo de pontos que pode ser obtido neste exame é 30. Cada resposta correta vale 
um ponto. Para ser aprovado você deve obter 20 pontos ou mais. 
 
O tempo permitido para este exame simulado é de 90 minutos. 
 
Boa sorte! 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
5 
Exame simulado 
1 / 30 
Qual é o elemento chave do desenvolvimento da estratégia de segurança? 
 
A) Descrição de como os serviços estão sendo suportados 
B) A política empresarial não deve entrar em conflito com as leis do país onde ela está sendo 
implementada 
C) Objetivos de controle relevantes 
D) Retorno do Investimento (ROI) 
 
 
2 / 30 
Um dos desafios de um gerente de segurança de TI de uma empresa muito conservadora é o de 
ensinar o gerente de TI que, para fornecer um programa de segurança da informação efetivo para a 
organização, uma mudança se faz necessária em relação aos conceitos sobre o que é a segurança 
de TI e o que ela engloba. 
 
O que o gerente de segurança de TI está tentando ensinar gerente de TI? 
 
A) Focar a proteção da infraestrutura de TI e não desviar disso, podendo assim garantir que o foco 
apropriado seja colocado onde é mais crítico. 
B) A segurança de informação cada vez mais requer a atenção de mais setores além de TI, porque não 
apenas a tecnologia importa, mas também a aceitação pública do uso da tecnologia. 
C) A segurança da informação precisa operar dentro dos limites do grupo de TI da organização e limitar 
sua interação com outros grupos organizacionais. 
 
 
3 / 30 
Um dos gerentes de negócio está muito preocupado que qualquer tipo de programa de segurança 
de TI possa ser intrusivo demais e impeça que o negócio continue a prosperar e inovar. 
 
Qual afirmação melhor descreve o que deve ser dito ao gerente? 
 
A) A segurança da informação existe para atender ao interesse da organização e é implementado 
apenas o nível de segurança apropriado para o valor da informação. 
B) A segurança da informação é um meio para proteger as informações e mitigar todos os riscos de 
dados na organização. 
C) Embora a segurança da informação possa ser um pouco intrusiva, isto é para o bem da organização e 
todas as informações corporativas precisam ser estritamente bloqueadas ou poderá ser enfrentado 
consequências terríveis. 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
6 
4 / 30 
O gerente de segurança é o responsável pela definição dos controles de segurança. A empresa 
está selecionando um fornecedor para hospedar um sistema de pedidos direcionado para a web. 
 
Qual deve ser o aspecto mais importante que o gerente de segurança investigará? 
 
A) Um padrão de devido cuidado (due care) 
B) Um padrão de devida diligência (due diligence) 
C) Benchmarking 
D) Melhores práticas de segurança 
 
 
5 / 30 
Controles de segurança são definidos com base na classificação de segurança de um elemento de 
dados. 
 
Quem é o responsável pela classificação de segurança de um elemento de dados? 
 
A) A alta direção, que comanda a empresa 
B) O guardião de dados (data custodian), que gerencia a utilização dos dados 
C) O proprietário do processo, que governa o processo 
D) O proprietário do sistema, que assegura do sistema de informação 
 
 
6 / 30 
Que abordagem para avaliação de riscos utiliza categorias em vez de números reais para 
determinar os riscos? 
 
A) Avaliativa 
B) Qualitativa 
C) Quantitativa 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
7 
7 / 30 
O gerenciamento de segurança da informação está sendo implementado atualmente na empresa 
“Internet Booksellers”. O líder do projeto de segurança da informação entende que o processo de 
identificação de riscos exige que ele organize os ativos organizacionais por ordem de importância 
e trabalhe com o gerente financeiro para elaborar essa lista. O peso de importância baseia-se nos 
seguintes critérios: impacto sobre a receita (30%), impacto sobre a rentabilidade (40%) e impacto 
sobre a imagem pública (30%). 
 
O gerente financeiro sugeriu quatro importantes ativos de informação: 
• Pedidos para o fornecedor (saída) 
• Pedido do cliente via SSL (entrada) 
• Orientação de conformidade do fornecedor (entrada) 
• Requisição de atendimento ao cliente por e-mail (entrada) 
 
Quais ativos têm a melhor classificação com base nos critérios de impacto? 
 
A) Pedidos para o fornecedor (saída) 
B) Pedido do cliente via SSL (entrada) 
C) Orientação de conformidade do fornecedor (entrada) 
D) Requisição de atendimento ao cliente por e-mail (entrada) 
 
 
8 / 30 
O que precisa ser decidido antes de considerar o tratamento de riscos? 
 
A) Como aplicar controles apropriados para reduzir os riscos 
B) Os requisitos e as restrições operacionais 
C) Requisitos e restrições da legislação e das exigências nacionais e internacionais 
D) Quantificação de riscos 
 
 
9 / 30 
Uma grande empresa de transporte adotou a norma de segurança da informação (ISO/IEC 
27001:2013) e precisa definir controles para seu departamento de desenvolvimento de software, 
que está sendo terceirizado. Um consultor externo foi determinado para certificar-se de que sejam 
implementados controles de segurança consistentes com o código de práticas em toda a cadeia 
de suprimentos de desenvolvimento de software na nova situação terceirizada. 
 
Qual controle deve ser colocado em prática para garantir a disponibilidade do código-fonte caso 
um dos parceiros da cadeia de suprimento abandone o negócio? 
 
A) Teste de aceitação 
B) Documentação eficaz 
C) Acordos judiciais 
D) Contratos de licenciamento 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
8 
10 / 30 
A gerente de segurança de uma organização acaba de ser solicitada a liderar o primeiro esforço da 
organização para a avaliação de riscos. A gerente de segurança está no processo de 
implementação de controles para mitigar os riscos identificados. Ela levou em conta os objetivos 
da organização, legislação e as normas aplicáveis. 
 
Qual item deveria também ser levado em consideração ao se implementar controles operacionais? 
 
A) Mitigação de riscos 
B) Restrições operacionais 
C) Priorização de riscos 
D) Transferência de riscos 
 
 
11 / 30 
O escopo do gerenciamento de riscos não se limita exclusivamente aos processos 
organizacionais. Ele também deve ser incorporado à metodologia de gerenciamento de projetos. 
Por exemplo, uma avaliação de riscos de segurança da informaçãodeve ser realizada na fase 
inicial de cada projeto. Ao implementar a gerenciamento de riscos de projetos, é necessário 
considerar o escopo desse processo. 
 
O que deve ser incluído no escopo de um gerenciamento de riscos para projetos padrão? 
 
A) Como uma organização de projetos é apenas uma pequena parte da organização, precisamos apenas 
incluir um simples mecanismo de identificação e classificação para ameaças e riscos 
especificamente relacionados com o projeto. 
B) É necessário incluir processos necessários para avaliar, mitigar, gerenciar e reduzir o impacto das 
ocorrências como faríamos com um projeto de segurança da informação. 
C) É necessário preparar para um nível de risco máximo e, portanto, implementar sub processos 
importantes, como identificação, quantificação, desenvolvimento de respostas e controle de 
respostas de riscos. 
 
 
12 / 30 
Qual é o nome popular da ISO/IEC 15408 sobre modelos de arquitetura de segurança? 
 
A) Modelo de Graham-Denning 
B) Na Série Rainbow (arco-íris) – o “livro laranja” 
C) Os Critérios Comuns (Common Criteria) 
 
 
13 / 30 
Uma gerente de operações quer assessoria sobre a abertura de um segundo datacenter em um 
local com ‘hot standby’. 
 
Qual é o conselho que o gerente de segurança deve fornecer? 
 
A) Assegurar-se de que o local tem um perfil de risco físico diferente do local principal (aeronaves, água) 
B) Assegurar-se de que a rede e o abastecimento de energia são redundantes e, de preferência, de 
provedores diferentes 
C) Assegurar-se de que este acesso físico só é concedido a operadores específicos 
D) Assegurar-se de que sua empresa não será uma vítima da legislação da ‘Patriot Act’ 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
9 
 
14 / 30 
Uma equipe de segurança acabou de finalizar uma avaliação de riscos organizacional e agora 
estão discutindo os controles para mitigar os riscos. Como parte deste esforço programas e 
controles técnicos foram considerados. 
 
Qual é a terceira categoria de controles de acesso que deve ser considerada? 
 
A) Custos 
B) Políticas 
C) Transferências 
 
 
15 / 30 
Após fazer uma avaliação de riscos e estabelecer um conjunto de controles adequado que 
satisfaça o apetite de risco da organização, o trabalho do consultor está quase completo. O 
consultor entende que na realidade nenhum conjunto de controles pode fornecer uma segurança 
completa. 
 
O que deve ser executado para reforçar ainda mais a segurança? 
 
A) Uma auditoria interna deve ser realizada para fornecer uma garantia de que as decisões de risco 
corretas tenham sido tomadas. 
B) Uma ação de gerenciamento deve ser implementada para monitorar, avaliar e melhorar a efetividade 
dos controles de segurança para apoiar os objetivos da organização. 
C) As unidades de negócios devem continuar a realizar auto-avaliações de riscos anualmente. 
D) Os riscos residuais devem ser transferidos. 
 
 
16 / 30 
O gerente de segurança da informação acaba de ser informado sobre uma revisão gerencial 
pendente da política de segurança da informação. 
 
Qual é uma contribuição para esta revisão gerencial? 
 
A) O aprimoramento dos objetivos de controle e dos controles 
B) O aprimoramento da abordagem gerencial da segurança da informação 
C) Necessidades de recursos 
 
 
17 / 30 
O gerente de segurança da informação de uma empresa global acaba de receber uma revisão 
gerencial da política de segurança da informação. 
 
O que o resultado desta revisão deve incluir? 
 
A) Feedback para as partes interessadas 
B) Aprimoramento dos controles e objetivos de controles 
C) Situação atual das ações preventivas e corretivas 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
10 
18 / 30 
Manter um programa de segurança da informação requer um processo contínuo. Isto requer 
entradas (inputs) de muitos diferentes fatores que irão influenciar o seu sucesso. 
 
Qual é uma influência de entrada que exigiria a mudança do processo? 
 
A) Politica 
B) Avaliação de riscos 
C) Plano de segurança 
 
 
19 / 30 
Uma grande parte da responsabilidade de uma equipe de segurança da informação consiste em 
monitorar e detectar incidentes. 
 
Qual é o indicador mais provável de um incidente? 
 
A) Ações executadas em horários inesperados 
B) Atividades realizadas por contas inativas 
C) Uma notificação do Sistema de Detecção de Intrusos (IDS) 
D) A presença de novas contas 
 
 
20 / 30 
Quem é responsável pela coordenação de uma campanha de conscientização sobre segurança na 
organização? 
 
A) Todas as pessoas da organização 
B) O gestor de segurança da informação 
C) O departamento de TI 
D) O secretário do CIO 
 
 
21 / 30 
No ano passado uma organização tornou-se mais rigorosa no que se refere aos controles de 
segurança de seus funcionários. Antes de implementar controles adicionais, a diretora de 
segurança da informação deseja conhecer a mentalidade dos funcionários em relação aos 
controles de segurança da informação. 
 
Como ela pode obter rapidamente uma noção a respeito? 
 
A) Ela verifica o fluxo de dados da internet. 
B) Ela verifica para determinar se há vírus na rede. 
C) Ela dá umas voltas pelo escritório depois das horas normais de trabalho. 
 
 
22 / 30 
Qual é a principal vantagem de usar uma arquitetura de segurança de design aberto? 
 
A) Designs abertos são fáceis de configurar. 
B) Designs abertos são muito testados. 
C) Designs abertos possuem muitos recursos extras. 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
11 
 
23 / 30 
Qual item de segurança foi desenvolvido para capturar grandes quantidades de tráfego na rede 
que podem indicar um ataque como negação de serviço? 
 
A) Firewall 
B) Sistema de Detecção de Intrusão e Proteção Baseado no Host (Host-based IDPS) 
C) Sistema de Detecção de Intrusão e Proteção Baseado na Rede (Network-based IDPS) 
D) VPN 
 
 
24 / 30 
A CEO de uma empresa começou a usar um tablet e quer que o gerente de segurança, lhe facilite a 
utilização do email e agenda corporativa no tablet. O gerente de segurança entende esse desejo 
como uma possibilidade de Trazer Seu Próprio Dispositivo (Bring Your Own Device - BYOD). 
 
Quais controles (além de um treinamento de conscientização) deve ser proposto para evitar 
perdas de dados em caso de roubo ou perda do dispositivo pessoal? 
 
A) Criptografar o armazenamento local e as conexões de rede 
B) Implementar uma autenticação forte utilizando tokens com senhas de utilização única (one-time 
password) 
C) Investigar seus requisitos e não atender seu pedido até que seja possível uma integração estável de 
funções empresariais em dispositivos particulares 
D) Instalar anti-malware e um firewall para evitar infecções 
 
 
25 / 30 
Qual afirmação sobre a arquitetura de segurança é a mais correta? 
 
A) A arquitetura de segurança segue a estratégia. 
B) A arquitetura de segurança é secundária a estratégia. 
C) A arquitetura de segurança define completamente as normas de implementação. 
 
 
26 / 30 
Zoneamento é um controle de segurança para separar áreas físicas com níveis de segurança 
diferentes. Zonas com níveis de segurança mais altos podem ser protegidas com mais controles. 
O gerente de segurança de um hotel é responsável pela segurança e está considerando diferentes 
zonas para o hotel. 
 
Qual combinação de funções de negócios deve ser combinada em uma única zona de segurança? 
 
A) Sala de reunião da diretoria e espaço geral de escritórios 
B) Área de fitness e sala de armazém 
C) Quartos do hotel e bar público 
D) Restaurante público e lobby 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
12 
27 / 30 
Sabendo que os controles de segurança física são umaparte muito importante de um programa de 
segurança da informação, é solicitado à equipe de segurança que desenhe e em seguida 
implemente um perímetro de segurança para um departamento que está configurando alguns 
novos sistemas de dados. 
 
De acordo com a ISO/IEC 27001, qual é a diretriz mais importante que deve ser considerado ao 
estabelecer este perímetro? 
 
A) Um modelo de apoio de duas pessoas 
B) Câmeras e alarmes devem ser incluídos 
C) Registro e monitoramento do sistema 
D) A intensidade do perímetro deve depender da classificação dos dados que estão sendo protegidos 
 
 
28 / 30 
A gerente de recursos humanos da sua organização perguntou o que ela pode fazer como um 
benefício rápido (quick win) na área de recursos humanos e contratações para ajudar a fortalecer 
o programa de segurança da informação da organização de acordo com a ISO 27001. 
 
Qual seria o seu conselho? 
 
A) Verificar os antecedentes de todos os candidatos 
B) Adotar política de segurança 
C) Usar catracas na entrada da organização 
 
 
29 / 30 
O gerente de continuidade de negócios solicita entradas (inputs) para o plano de contingência. 
 
Qual deveria ser a sua primeira atividade? 
 
A) Definir o escopo 
B) Identificar funções empresariais críticas 
C) Testar o plano 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
13 
30 / 30 
Uma componente chave a ser integrada no programa de segurança da informação de sua 
organização é um programa de continuidade de negócios robusto. Para ajudar a fazer isso, foi 
solicitado a um consultor de segurança a listar os requisitos de informação essenciais para tal 
programa. 
 
Qual é a sua primeira preocupação sobre gestão de continuidade de negócios do ponto de vista da 
segurança da informação? 
 
A) Assegurar a segurança dos funcionários e a proteção das instalações de processamento de 
informação 
B) Identificar eventos que possam causar interrupções nas finanças da organização e em seguida uma 
avaliação de riscos 
C) Vincular os diversos aspectos de risco em um plano holístico a ser aprovado pela administração para 
implementar a estratégia 
D) As consequências de desastres, tempo ocioso do sistema, falhas de segurança, perdas de serviço e 
riscos inclusivos para assegurar que os sistemas empresariais estejam disponíveis. 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
14 
Gabarito de respostas 
1 / 30 
Qual é o elemento chave do desenvolvimento da estratégia de segurança? 
 
A) Descrição de como os serviços estão sendo suportados 
B) A política empresarial não deve entrar em conflito com as leis do país onde ela está sendo 
implementada 
C) Objetivos de controle relevantes 
D) Retorno do Investimento (ROI) 
 
A) Incorreto. Esta resposta não diz respeito à definição de uma estratégia de segurança geral e é mais 
focada na ANS. 
B) Incorreto. Esta resposta não diz respeito à definição de uma estratégia de segurança geral e é mais 
uma parte da política de desenvolvimento. 
C) Correto. Ter objetivos de controle relevantes é um elemento chave para o desenvolvimento de uma 
estratégia de segurança. (Literatura: A, Capítulo 4.1.1) 
D) Incorreto. Esta resposta não diz respeito à definição de uma estratégia de segurança geral e se refere 
mais a prognósticos e planejamentos orçamentários. 
 
 
2 / 30 
Um dos desafios de um gerente de segurança de TI de uma empresa muito conservadora é o de 
ensinar o gerente de TI que, para fornecer um programa de segurança da informação efetivo para a 
organização, uma mudança se faz necessária em relação aos conceitos sobre o que é a segurança 
de TI e o que ela engloba. 
 
O que o gerente de segurança de TI está tentando ensinar gerente de TI? 
 
A) Focar a proteção da infraestrutura de TI e não desviar disso, podendo assim garantir que o foco 
apropriado seja colocado onde é mais crítico. 
B) A segurança de informação cada vez mais requer a atenção de mais setores além de TI, porque não 
apenas a tecnologia importa, mas também a aceitação pública do uso da tecnologia. 
C) A segurança da informação precisa operar dentro dos limites do grupo de TI da organização e limitar 
sua interação com outros grupos organizacionais. 
 
A) Incorreto. Este é um pequeno subconjunto de um programa de segurança da informação e não vai 
educar a gestão de TI que é preciso ter uma visão mais ampla para executar e gerenciar um 
programa de segurança de informação eficaz. A segurança da informação exige cada vez mais a 
atenção de mais do que apenas TI. 
B) Correto. Segurança requer mais do que apenas a atenção de TI dentro de uma organização. 
(Literatura: A, Capítulo 1.1.4) 
C) Incorreto. Isso não vai ensinar a gestão de TI que é preciso uma visão mais abrangente para executar 
e gerenciar um programa de segurança de informação eficaz. A segurança da informação exige cada 
vez mais a atenção de mais do que apenas TI. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
15 
3 / 30 
Um dos gerentes de negócio está muito preocupado que qualquer tipo de programa de segurança 
de TI possa ser intrusivo demais e impeça que o negócio continue a prosperar e inovar. 
 
Qual afirmação melhor descreve o que deve ser dito ao gerente? 
 
A) A segurança da informação existe para atender ao interesse da organização e é implementado 
apenas o nível de segurança apropriado para o valor da informação. 
B) A segurança da informação é um meio para proteger as informações e mitigar todos os riscos de 
dados na organização. 
C) Embora a segurança da informação possa ser um pouco intrusiva, isto é para o bem da organização e 
todas as informações corporativas precisam ser estritamente bloqueadas ou poderá ser enfrentado 
consequências terríveis. 
 
A) Correto. As escolhas são feitas levando em conta quais dados serão protegidos e qual é o nível de 
proteção necessário para os dados. (Literatura: A, Capítulo 2.1) 
B) Incorreto. Esta resposta afirma que todos os riscos serão mitigados. Apenas subconjuntos de dados 
corporativos precisam ser protegidos. 
C) Incorreto. Esta resposta afirma que todos os dados organizacionais precisam ser protegidos, o que 
não é verdade. 
 
 
4 / 30 
O gerente de segurança é o responsável pela definição dos controles de segurança. A empresa 
está selecionando um fornecedor para hospedar um sistema de pedidos direcionado para a web. 
 
Qual deve ser o aspecto mais importante que o gerente de segurança investigará? 
 
A) Um padrão de devido cuidado (due care) 
B) Um padrão de devida diligência (due diligence) 
C) Benchmarking 
D) Melhores práticas de segurança (BSPs) 
 
A) Incorreto. Um padrão de devido cuidado simboliza um nível mínimo de segurança. 
B) Incorreto. Devida diligência significa que o fornecedor atende a um requisito padrão. Esse padrão não 
é necessariamente o nosso. 
C) Incorreto. Benchmarking é uma técnica utilizada para comparar organizações com atividades 
empresariais/maturidade/mercados similares. 
D) Correto. Melhores práticas de segurança são as melhores opções para uma determinada indústria ou 
linha de trabalho. É isso o que você deverá procurar em um fornecedor. (Literatura: B, Capítulo 9.4, 
Recommended Security Practices) 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
16 
5 / 30 
Controles de segurança são definidos com base na classificação de segurança de um elemento de 
dados. 
 
Quem é o responsável pela classificação de segurança de um elemento de dados? 
 
A) A alta direção, que comanda a empresa 
B) O guardião de dados (data custodian), que gerencia a utilização dos dados 
C) O proprietário do processo, que governa o processo 
D) O proprietário do sistema, que assegura do sistema de informação 
 
A) Incorreto.A diretoria tem a responsabilidade geral por todos os processos empresariais, mas a 
responsabilidade pelo exercício de todas as funções é delegada. 
B) Incorreto. O guardião é responsável pela definição e gestão dos requisitos para todos os elementos 
de dados no que se refere à conformidade com as leis e normas, mas também pela utilização de 
dados por diversas partes e processos sob a forma de contratos de dados. 
C) Correto. Qualquer elemento de dados é um objeto de controle de um processo empresarial. O 
proprietário do processo é a única pessoa que pode determinar se um elemento de dados é crítico 
para a organização. (Literatura: A, Capítulo 4.3.2) 
D) Incorreto. O proprietário do sistema é responsável pela implementação dos controles requeridos pela 
classificação CIA definida. 
 
 
6 / 30 
Que abordagem para avaliação de riscos utiliza categorias em vez de números reais para 
determinar os riscos? 
 
A) Avaliativa 
B) Qualitativa 
C) Quantitativa 
 
A) Incorreto. Esta não é uma metodologia ou abordagem padrão de risco. 
B) Correta. A abordagem qualitativa é uma metodologia de risco bem aceita que não usa números puros 
e conta com a experiência do profissional de segurança. Esta é atualmente a metodologia de risco 
mais aceita. (Literatura: B, Capítulo 7, Qualitative and Hybrid Asset Valuation Measures) 
C) Incorreta. Metodologia quantitativa usa números reais para definir o risco. 
 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
17 
7 / 30 
O gerenciamento de segurança da informação está sendo implementado atualmente na empresa 
“Internet Booksellers”. O líder do projeto de segurança da informação entende que o processo de 
identificação de riscos exige que ele organize os ativos organizacionais por ordem de importância 
e trabalhe com o gerente financeiro para elaborar essa lista. O peso de importância baseia-se nos 
seguintes critérios: impacto sobre a receita (30%), impacto sobre a rentabilidade (40%) e impacto 
sobre a imagem pública (30%). 
 
O gerente financeiro sugeriu quatro importantes ativos de informação: 
• Pedidos para o fornecedor (saída) 
• Pedido do cliente via SSL (entrada) 
• Orientação de conformidade do fornecedor (entrada) 
• Requisição de atendimento ao cliente por e-mail (entrada) 
 
Quais ativos têm a melhor classificação com base nos critérios de impacto? 
 
A) Pedidos para o fornecedor (saída) 
B) Pedido do cliente via SSL (entrada) 
C) Orientação de conformidade do fornecedor (entrada) 
D) Requisição de atendimento ao cliente por e-mail (entrada) 
 
A) Incorreto. Quando não for possível enviar pedidos para o fornecedor, isso provocará um alto impacto 
sobre a possibilidade de gerar receita e lucro. Entretanto, isso atrasará os pedidos do cliente. Talvez 
alguns clientes passem a comprar com um concorrente. Isso também provocará um impacto sobre a 
rentabilidade e a sobre a imagem pública. Normalmente, ainda haverá receita e lucro. 
B) Correto. Quando um cliente não consegue fazer um pedido on-line, imediatamente ele o fará com 
outro fornecedor. O impacto sobre a receita, a rentabilidade e a imagem pública será maior. 
(Literatura: B, Capítulo 6, Assessing the Value of Information Assets) 
C) Incorreto. Quando os pedidos para o fornecedor não puderem ser realizados, isso provocará um alto 
impacto sobre a possibilidade de gerar receita e lucro. Entretanto, isso atrasará os pedidos do cliente. 
Talvez alguns clientes passem a comprar com um concorrente. Isso também provocará um impacto 
sobre a rentabilidade e a sobre a imagem pública. Eventualmente, ainda haverá receita e lucro. 
D) Incorreto. Quando a requisição de atendimento ao cliente não puder ser cumprida, isso provocará um 
impacto elevado sobre a imagem pública. O impacto sobre a receita e a rentabilidade será 
significativamente inferior em comparação com elementos de falha no processo de logística. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
18 
8 / 30 
O que precisa ser decidido antes de considerar o tratamento de riscos? 
 
A) Como aplicar controles apropriados para reduzir os riscos 
B) Os requisitos e as restrições operacionais 
C) Requisitos e restrições da legislação e das exigências nacionais e internacionais 
D) Quantificação de riscos 
 
A) Incorreto. Esta é uma das quatro opções possíveis para tratamento de risco e não representa um 
ponto para consideração que precise ocorrer antes de considerar o tratamento de risco. 
B) Incorreto. Este é um dos cinco itens que devem ser levados em conta ao desenhar os controles e não 
está na mesma tabela ISO da resposta correta. 
C) Incorreto. Este é um dos cinco itens que devem ser levados em conta ao desenhar os controles e não 
está na mesma tabela ISO da resposta correta. 
D) Correto. Se este critério estiver estabelecido, ele permite que você ignore riscos que estejam dentro 
dos limites de disposição para o trabalho da organização (apetite de riscos), assim você não perderá 
tempo focando em itens que não sejam considerados como um risco por sua organização ou por leis 
e regulamentações. (Literatura: B Capítulo 6, Risk Determination, and Risk Treatment/Risk Control) 
 
 
9 / 30 
Uma grande empresa de transporte adotou a norma de segurança da informação (ISO/IEC 
27001:2013) e precisa definir controles para seu departamento de desenvolvimento de software, 
que está sendo terceirizado. Um consultor externo foi determinado para certificar-se de que sejam 
implementados controles de segurança consistentes com o código de práticas em toda a cadeia 
de suprimentos de desenvolvimento de software na nova situação terceirizada. 
 
Qual controle deve ser colocado em prática para garantir a disponibilidade do código-fonte caso 
um dos parceiros da cadeia de suprimento abandone o negócio? 
 
A) Teste de aceitação 
B) Documentação eficaz 
C) Acordos judiciais 
D) Contratos de licenciamento 
 
A) Incorreto. O teste de aceitação é um mecanismo para garantir que os resultados do processo de 
desenvolvimento atendam aos critérios de qualidade do cliente. O cliente não terá acesso ao código-
fonte. 
B) Incorreto. A documentação eficaz é um requisito geral de todos os controles. O código-fonte não faz 
parte da documentação acessível ao cliente. 
C) Correto. Acordos judiciais garantem que o código-fonte do software seja armazenado em um local 
neutro. O código-fonte deve ser acessível para o cliente quando certos critérios para acesso forem 
atendidos, por exemplo, se o fornecedor entra em concordata ou decreta falência. (Literatura: C, 
Annexo A 14.2.7) 
D) Incorreto. Os contratos de licenciamento apenas garantem os direitos de propriedade geral e de 
propriedade intelectual do código. Eles não podem garantir acesso ao código-fonte para o cliente se o 
fornecedor abandonar o negócio. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
19 
10 / 30 
A gerente de segurança de uma organização acaba de ser solicitada a liderar o primeiro esforço da 
organização para a avaliação de riscos. A gerente de segurança está no processo de 
implementação de controles para mitigar os riscos identificados. Ela levou em conta os objetivos 
da organização, legislação e as normas aplicáveis. 
 
Qual item deveria também ser levado em consideração ao se implementar controles operacionais? 
 
A) Mitigação de riscos 
B) Restrições operacionais 
C) Priorização de riscos 
D) Transferência de riscos 
 
A) Incorreto. O controle das mitigações de riscos é o que os controles foram projetados para obter, mas 
não é um dos itens necessários para ser levado em consideração quando você estiver 
implementando os controles projetados. 
B) Correto. Objetivos organizacionais, restrições operacionais e legislação e normas aplicáveis precisam 
ser levados em conta ao se implementarcontroles de riscos. (Literatura: B, Capítulo 7.2, Other 
Methods of Establishing Feasibility) 
C) Incorreto. A etapa da priorização de riscos ocorre antes do projeto e da implementação dos 
controles. 
D) Incorreto. A transferência de riscos é um controle a ser implementado e não é algo que deve ser 
levado em conta ao se implementar um controle. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
20 
11 / 30 
O escopo do gerenciamento de riscos não se limita exclusivamente aos processos 
organizacionais. Ele também deve ser incorporado à metodologia de gerenciamento de projetos. 
Por exemplo, uma avaliação de riscos de segurança da informação deve ser realizada na fase 
inicial de cada projeto. Ao implementar a gerenciamento de riscos de projetos, é necessário 
considerar o escopo desse processo. 
 
O que deve ser incluído no escopo de um gerenciamento de riscos para projetos padrão? 
 
A) Como uma organização de projetos é apenas uma pequena parte da organização, precisamos apenas 
incluir um simples mecanismo de identificação e classificação para ameaças e riscos 
especificamente relacionados com o projeto. 
B) É necessário incluir processos necessários para avaliar, mitigar, gerenciar e reduzir o impacto das 
ocorrências como faríamos com um projeto de segurança da informação. 
C) É necessário preparar para um nível de risco máximo e, portanto, implementar sub processos 
importantes, como identificação, quantificação, desenvolvimento de respostas e controle de 
respostas de riscos. 
 
A) Correto. Em geral, esse escopo deve ser suficiente para a maioria dos projetos. Dito isso, precisamos 
permitir projetos maiores e mais críticos, de modo que também haja um processo para alcançarmos 
processos de gerenciamento de riscos mais detalhados para projetos corporativos maiores/mais 
abrangentes. Portanto, precisamos implementar um escopo genérico, como fazemos para a 
organização como um todo. (Literatura: B, Capítulo 5, Project Management in Information Security e 
C, Annexo A 6.1.5) 
B) Incorreto. O gerenciamento de riscos de projetos é muito semelhante ao gerenciamento de riscos 
normal. Assim sendo, o escopo genérico deve ser semelhante. Em muitas ocasiões, precisaremos 
apenas de uma abordagem simples, identificando e classificando somente as ameaças específicas 
que o projeto enfrenta. 
C) Incorreto. A implementação de todos os sub processos possíveis é aplicável apenas aos cenários de 
projetos de alto risco, como projetos de segurança ou em ambientes de missão crítica. Somente 
nesses ambientes a abordagem genérica deve ser utilizada. 
 
 
12 / 30 
Qual é o nome popular da ISO/IEC 15408 sobre modelos de arquitetura de segurança? 
 
A) Modelo de Graham-Denning 
B) Na Série Rainbow (arco-íris) – o “livro laranja” 
C) Os Critérios Comuns (Common Criteria) 
 
A) Incorreto. O modelo de controle de acesso de Graham-Denning descreve oito direitos básicos de 
proteção. Este é um bom modelo, mas não é a metodologia indicada aqui. 
B) Incorreto. O “livro laranja” é considerado a base da Série Rainbow. O Trusted Computer System 
Evaluation Criteria (TCSEC) é uma norma do DoD (Department of Defense – Departamento de Defesa 
Americano) que define os critérios para avaliação dos controles de acesso em um sistema de 
computador. Esta norma faz parte de uma série maior de normas, referida coletivamente como a 
Série Rainbow. 
C) Correto. Os Critérios Comuns (Common Criteria) para avaliação da segurança de tecnologia de 
informação (geralmente chamados de Critérios Comuns ou CC) constituem a norma internacional 
ISO/IEC 15408 para certificação da segurança de computadores. (Literatura: B, Capítulo 8.3, The 
Common Criteria) 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
21 
13 / 30 
Uma gerente de operações quer assessoria sobre a abertura de um segundo datacenter em um 
local com ‘hot standby’. 
 
Qual é o conselho que o gerente de segurança deve fornecer? 
 
A) Assegurar-se de que o local tem um perfil de risco físico diferente do local principal (aeronaves, água) 
B) Assegurar-se de que a rede e o abastecimento de energia são redundantes e, de preferência, de 
provedores diferentes 
C) Assegurar-se de que este acesso físico só é concedido a operadores específicos 
D) Assegurar-se de que sua empresa não será uma vítima da legislação da ‘Patriot Act’ 
 
A) Correto. Como se trata de um site alternativo, seria sensato assegurar-se que tenha um perfil de risco 
diferente. (Literatura: A, Capítulo 2.1.2) 
B) Incorreto. Isto é apenas parte do perfil de risco. 
C) Incorreto. Isto é um controle de segurança geral. 
D) Incorreto. Isto não é um risco de segurança físico, é um problema legislativo. 
 
 
14 / 30 
Uma equipe de segurança acabou de finalizar uma avaliação de riscos organizacional e agora 
estão discutindo os controles para mitigar os riscos. Como parte deste esforço programas e 
controles técnicos foram considerados. 
 
Qual é a terceira categoria de controles de acesso que deve ser considerada? 
 
A) Custos 
B) Políticas 
C) Transferências 
 
A) Incorreto. As três categorias de controles de acesso são controles técnicos, programas e políticas. 
B) Correto. As três categorias de controles de acesso são controles técnicos, programas e políticas. 
(Literatura: B, Capítulo 8, Access Control Models) 
C) Incorreto. As três categorias de controles de acesso são controles técnicos, programas e políticas. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
22 
15 / 30 
Após fazer uma avaliação de riscos e estabelecer um conjunto de controles adequado que 
satisfaça o apetite de risco da organização, o trabalho do consultor está quase completo. O 
consultor entende que na realidade nenhum conjunto de controles pode fornecer uma segurança 
completa. 
 
O que deve ser executado para reforçar ainda mais a segurança? 
 
A) Uma auditoria interna deve ser realizada para fornecer uma garantia de que as decisões de risco 
corretas tenham sido tomadas. 
B) Uma ação de gerenciamento deve ser implementada para monitorar, avaliar e melhorar a efetividade 
dos controles de segurança para apoiar os objetivos da organização. 
C) As unidades de negócios devem continuar a realizar auto-avaliações de riscos anualmente. 
D) Os riscos residuais devem ser transferidos. 
 
A) Incorreto. Uma auditoria não constitui uma etapa obrigatória para garantir que decisões de risco 
corretas tenham sido tomadas. Embora uma auditoria possa ser realizada se houver falta de 
confiança nas pessoas que tomam as decisões sobre controles de mitigação. 
B) Correto. Esta é uma etapa básica em muitas metodologias de melhores práticas (ou seja, Planejar, 
Fazer, Verificar, Agir) que deve ser concluída para garantir que a melhora sistêmica e a avaliação 
contínua sejam itens críticos na manutenção dos controles adequados. (Literatura: C, Annexo A 5) 
C) Incorreto. Auto-avaliações são uma boa ideia, mas são apenas tão boas quanto as pessoas que 
realizam a avaliação. 
D) Incorreto. Este é um controle e a questão afirma que os controles já foram estabelecidos. 
 
 
16 / 30 
O gerente de segurança da informação acaba de ser informado sobre uma revisão gerencial 
pendente da política de segurança da informação. 
 
Qual é uma contribuição para esta revisão gerencial? 
 
A) O aprimoramento dos objetivos de controle e dos controles 
B) O aprimoramento da abordagem gerencial da segurança da informação 
C) Necessidades de recursos 
 
A) Incorreto. Isto é um resultado da revisão gerencial. 
B) Incorreto. Isto é um resultado da revisão gerencial. 
C) Correto. Isto é uma contribuição da revisão gerencial. (Literatura: C, Annexo A 5.1.2) 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001(ISMP.PR) 
 
 
 
 
23 
17 / 30 
O gerente de segurança da informação de uma empresa global acaba de receber uma revisão 
gerencial da política de segurança da informação. 
 
O que o resultado desta revisão deve incluir? 
 
A) Feedback para as partes interessadas 
B) Aprimoramento dos controles e objetivos de controles 
C) Situação atual das ações preventivas e corretivas 
 
A) Incorreto. Esta é uma entrada para revisão gerencial da política de segurança da informação. 
B) Correto. Esta informação deve ser incluída no resultado. (Literatura: C, Annexo A 5.1.2) 
C) Incorreto. Este é um dado para revisão gerencial da política de segurança da informação. 
 
 
18 / 30 
Manter um programa de segurança da informação requer um processo contínuo. Isto requer 
entradas (inputs) de muitos diferentes fatores que irão influenciar o seu sucesso. 
 
Qual é uma influência de entrada que exigiria a mudança do processo? 
 
A) Politica 
B) Avaliação de riscos 
C) Plano de segurança 
 
A) Incorreto. Política é uma saída não é uma entrada do programa. 
B) Correto. A avaliação de risco é uma mudança na entrada que requer adaptação no processo. 
(Literatura: A, Capítulo 2.1.3) 
C) Incorreto. O plano de segurança é uma saída não é uma entrada do programa. 
 
 
19 / 30 
Uma grande parte da responsabilidade de uma equipe de segurança da informação consiste em 
monitorar e detectar incidentes. 
 
Qual é o indicador mais provável de um incidente? 
 
A) Ações executadas em horários inesperados 
B) Atividades realizadas por contas inativas 
C) Uma notificação do Sistema de Detecção de Intrusos (IDS) 
D) A presença de novas contas 
 
A) Incorreto. Esta opção está associada a indicadores prováveis, não definitivos. 
B) Correto. Se uma conta inativa iniciar atividades inesperadas, é (quase) certo que um incidente 
ocorreu. (Literatura: B, Capítulo 10.2, Detecting Incidents) 
C) Incorreto. Esta opção está associada a indicadores prováveis, não definitivos. 
D) Incorreto. Esta opção está associada a indicadores prováveis, não definitivos. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
24 
20 / 30 
Quem é responsável pela coordenação de uma campanha de conscientização sobre segurança na 
organização? 
 
A) Todas as pessoas da organização 
B) O gestor de segurança da informação 
C) O departamento de TI 
D) O secretário do CIO 
 
A) Incorreto. Embora todas as pessoas da organização sejam responsáveis pela segurança 
organizacional, elas não são responsáveis pela coordenação do programa de conscientização sobre 
segurança da organização. 
B) Correto. A gestão de segurança da informação é responsável pela coordenação da campanha de 
conscientização sobre segurança. (Literatura: A, Capítulo 5.2) 
C) Incorreto. Embora o departamento de TI precise promover e estar ciente de questões e preocupações 
de segurança, ele não é responsável pela coordenação da campanha de conscientização sobre 
segurança da organização. 
D) Incorreto. O secretário pode ser responsável pela promoção e favorecimento da conscientização, 
mas não é diretamente responsável pela coordenação do programa de conscientização sobre 
segurança da organização. 
 
 
21 / 30 
No ano passado uma organização tornou-se mais rigorosa no que se refere aos controles de 
segurança de seus funcionários. Antes de implementar controles adicionais, a diretora de 
segurança da informação deseja conhecer a mentalidade dos funcionários em relação aos 
controles de segurança da informação. 
 
Como ela pode obter rapidamente uma noção a respeito? 
 
A) Ela verifica o fluxo de dados da internet. 
B) Ela verifica para determinar se há vírus na rede. 
C) Ela dá umas voltas pelo escritório depois das horas normais de trabalho. 
 
A) Incorreto. Isso apenas fornece informação a respeito de quanto a internet tem sido utilizada, não 
sobre a mentalidade geral dos funcionários. 
B) Incorreto. Isso é uma medida técnica e não fornece nenhuma informação sobre a mentalidade dos 
funcionários. 
C) Correto. Quando ele der suas voltas pelo escritório depois das horas normais de trabalho ele verá 
como os funcionários tratam as informações sigilosas. (Literatura: A, Capítulo 5.2) 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
25 
22 / 30 
Qual é a principal vantagem de usar uma arquitetura de segurança de design aberto? 
 
A) Designs abertos são fáceis de configurar. 
B) Designs abertos são muito testados. 
C) Designs abertos possuem muitos recursos extras. 
 
A) Incorreta. Desenhos abertos não são configurados mais facilmente que desenhos secretos (secret 
designs). 
B) Correta. Desenhos abertos são testados extensivamente e, além disso, os desenhos secretos nunca 
ficam em segredo. (Literatura: A, Capítulo 2.2.4) 
C) Incorreta. Desenhos abertos não possuem necessariamente mais funcionalidades do que os 
desenhos secretos. 
 
 
23 / 30 
Qual item de segurança foi desenvolvido para capturar grandes quantidades de tráfego na rede 
que podem indicar um ataque como negação de serviço? 
 
A) Firewall 
B) Sistema de Detecção de Intrusão e Proteção Baseado no Host (Host-based IDPS) 
C) Sistema de Detecção de Intrusão e Proteção Baseado na Rede (Network-based IDPS) 
D) VPN 
 
A) Incorreto. Esta é uma ferramenta de segurança, mas não coleta um grande número de tráfego de 
rede. 
B) Incorreto. Isto foca em dados de tráfego baseado no host e não baseado na rede. 
C) Correto. Um Sistema de Detecção de Intrusão e Proteção Baseado no Host (IDPS) é capaz de coletar 
e analisar dados que trafegam na rede de uma organização para verificar se eventos anormais são 
indicadores de um possível ataque ativo, como no caso de uma negação de serviço. (Literatura: B, 
Capítulo 12.2, Intrusion Detection and Prevention Systems) 
D) Incorreto. Isto é um dispositivo de acesso à infraestrutura de rede. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
26 
24 / 30 
A CEO de uma empresa começou a usar um tablet e quer que o gerente de segurança, lhe facilite a 
utilização do email e agenda corporativa no tablet. O gerente de segurança entende esse desejo 
como uma possibilidade de Trazer Seu Próprio Dispositivo (Bring Your Own Device - BYOD). 
 
Quais controles (além de um treinamento de conscientização) deve ser proposto para evitar 
perdas de dados em caso de roubo ou perda do dispositivo pessoal? 
 
A) Criptografar o armazenamento local e as conexões de rede 
B) Implementar uma autenticação forte utilizando tokens com senhas de utilização única (one-time 
password) 
C) Investigar seus requisitos e não atender seu pedido até que seja possível uma integração estável de 
funções empresariais em dispositivos particulares 
D) Instalar anti-malware e um firewall para evitar infecções 
 
A) Correto. Em caso de perda ou roubo pelo menos os dados corporativos estarão seguros. (Literatura: 
B, Capítulo 12.3, Cryptography) 
B) Incorreto. Isso apenas possibilita um login seguro na rede corporativa. 
C) Incorreto. Pode ser sensato, mas o diretor executivo não pode ser negligenciado. 
D) Incorreto. Em caso de roubo ou perda os dados ainda serão acessíveis por terceiros. 
 
 
25 / 30 
Qual afirmação sobre a arquitetura de segurança é a mais correta? 
 
A) A arquitetura de segurança segue a estratégia. 
B) A arquitetura de segurança é secundária a estratégia. 
C) A arquitetura de segurança define completamente as normas de implementação. 
 
A) Correto. A arquitetura de segurança segue a estratégia de segurança da informação. (Literatura: A, 
Capítulo 2.2.1) 
B) Incorreto. A arquitetura de segurança é estratégica e, portanto não é secundária. 
C) Incorreto. A arquitetura de segurança é um projeto de nível mais alto que isso e não define 
completamente as normas de implementação.Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
27 
26 / 30 
Zoneamento é um controle de segurança para separar áreas físicas com níveis de segurança 
diferentes. Zonas com níveis de segurança mais altos podem ser protegidas com mais controles. 
O gerente de segurança de um hotel é responsável pela segurança e está considerando diferentes 
zonas para o hotel. 
 
Qual combinação de funções de negócios deve ser combinada em uma única zona de segurança? 
 
A) Sala de reunião da diretoria e espaço geral de escritórios 
B) Área de fitness e sala de armazém 
C) Quartos do hotel e bar público 
D) Restaurante público e lobby 
 
A) Incorreta. A sala de reuniões da diretoria pode conter informações estratégicas valiosas e, portanto, 
confidenciais, que podem não ser acessíveis ao pessoal regular. 
B) Incorreta. A instalação de armazenamento deve estar disponível apenas para (alguns) funcionários, 
enquanto a área de fitness é acessível a todos os hóspedes e funcionários. 
C) Incorreta. Os quartos do hotel e o bar devem ficar separados. O bar público pode ser usado por todos 
e os quartos do hotel são apenas para hóspedes pagantes. 
D) Correta. Ambos os locais podem ser usados por qualquer pessoa. (Literatura: A, Capítulo 2.2.4) 
 
 
27 / 30 
Sabendo que os controles de segurança física são uma parte muito importante de um programa de 
segurança da informação, é solicitado à equipe de segurança que desenhe e em seguida 
implemente um perímetro de segurança para um departamento que está configurando alguns 
novos sistemas de dados. 
 
De acordo com a ISO/IEC 27001, qual é a diretriz mais importante que deve ser considerado ao 
estabelecer este perímetro? 
 
A) Um modelo de apoio de duas pessoas 
B) Câmeras e alarmes devem ser incluídos 
C) Registro e monitoramento do sistema 
D) A intensidade do perímetro deve depender da classificação dos dados que estão sendo protegidos 
 
A) Incorreto. Este é um bom controle físico, mas não é o controle mais importante e não é uma diretriz. 
B) Incorreto. Este é um bom controle físico, mas não é o controle mais importante e não é uma diretriz. 
C) Incorreto. Este é um bom controle, mas não é o controle mais importante e não é um controle de 
perímetro. 
D) Correto. Todas as decisões tomadas por um recurso de segurança da informação devem ser 
centradas nos dados e as decisões devem ser baseadas na classificação dos dados envolvidos. 
(Literatura: C, Annexo A 11.1.1) 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
28 
28 / 30 
A gerente de recursos humanos da sua organização perguntou o que ela pode fazer como um 
benefício rápido (quick win) na área de recursos humanos e contratações para ajudar a fortalecer 
o programa de segurança da informação da organização de acordo com a ISO 27001. 
 
Qual seria o seu conselho? 
 
A) Verificar os antecedentes de todos os candidatos 
B) Adotar política de segurança 
C) Usar catracas na entrada da organização 
 
A) Correto. Uma das melhores práticas, cada vez mais utilizada, consiste em conduzir verificações de 
antecedentes de candidatos. Esta etapa simples fortalece muito a segurança geral dos dados 
organizacionais. (Literatura: C, Annexo A 7.1.2) 
B) Incorreto. Esta é uma boa ideia, mas não é um benefício rápido, embora pudesse ser uma estratégia 
em longo prazo. 
C) Incorreto. Este é um controle físico e não ajuda na área de recursos humanos e contratações. 
 
 
29 / 30 
O gerente de continuidade de negócios solicita entradas (inputs) para o plano de contingência. 
 
Qual deveria ser a sua primeira atividade? 
 
A) Definir o escopo 
B) Identificar funções empresariais críticas 
C) Testar o plano 
 
A) Incorreto. Escopo é o pilar de uma gestão de projeto e não uma pedra fundamental no planejamento 
de contingência empresarial, pois a abrangência é consequência dos resultados da análise de 
impacto empresarial (BIA). 
B) Correto. O ponto principal a ser considerado para se elaborar um plano de contingência empresarial é 
que a empresa defina e documente suas funções e sistemas empresariais críticos. (Literatura: B, 
Capítulo 10.1, Fundamentals of Contingency Planning) 
C) Incorreto. O teste do plano de contingência empresarial é extremamente importante e deve ser 
realizado anualmente, mas não é a primeira atividade. 
 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
29 
30 / 30 
Uma componente chave a ser integrada no programa de segurança da informação de sua 
organização é um programa de continuidade de negócios robusto. Para ajudar a fazer isso, foi 
solicitado a um consultor de segurança a listar os requisitos de informação essenciais para tal 
programa. 
 
Qual é a sua primeira preocupação sobre gestão de continuidade de negócios do ponto de vista da 
segurança da informação? 
 
A) Assegurar a segurança dos funcionários e a proteção das instalações de processamento de 
informação 
B) Identificar eventos que possam causar interrupções nas finanças da organização e em seguida uma 
avaliação de riscos 
C) Vincular os diversos aspectos de risco em um plano holístico a ser aprovado pela administração para 
implementar a estratégia 
D) As consequências de desastres, tempo ocioso do sistema, falhas de segurança, perdas de serviço e 
riscos inclusivos para assegurar que os sistemas empresariais estejam disponíveis. 
 
A) Correto. Este é um elemento chave para a gestão de continuidade de negócios de um ponto de vista 
da segurança da informação. (Literatura: C, Annexo A 17.1.1) 
B) Incorreto. Isto faz parte da continuidade de negócios e da avaliação de riscos: identificar eventos (ou 
uma sequência de eventos) que possam causar interrupções nos processos empresariais da 
organização. 
C) Incorreto. Isto faz parte da continuidade de negócios e da avaliação de riscos e deve ser realizado 
com o pleno envolvimento dos proprietários dos recursos e processos empresariais. 
D) Incorreto. Isto faz parte da continuidade de negócios e da avaliação de riscos: identificar eventos (ou 
uma sequência de eventos) que possam causar interrupções nos processos empresariais da 
organização. 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
30 
Avaliação 
A tabela a seguir mostra as respostas corretas às questões apresentadas neste exame modelo. 
 
Número Resposta Número Resposta 
1 C 16 C 
2 B 17 B 
3 A 18 B 
4 D 19 B 
5 C 20 B 
6 B 21 C 
7 B 22 B 
8 D 23 C 
9 C 24 A 
10 B 25 A 
11 A 26 D 
12 C 27 D 
13 A 28 A 
14 B 29 B 
15 B 30 A 
 
 
Exame simulado EXIN Information Security Management Professional based 
on ISO/IEC 27001 (ISMP.PR) 
 
 
 
 
31 
 
Contato EXIN 
www.exin.com 
http://www.exin.com/