QUESTÕES - CONFORMIDADE COM NORMAS E REGUL EXTERNAS

Prévia do material em texto

CONFORMIDADE COM NORMAS E REGUL. EXTERNAS
Documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados:
Norma
Procedimento
Regulamento
Lei
Diretriz
===============================================================================================
_____________________ é uma exigência imposta pelo governo que especifica características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade é obrigatória.
Um regulamento
Uma auditoria
Uma norma
Um procedimento
Uma diretriz
===============================================================================================
Regulamentação que visa à proteção da privacidade da informação de pacientes:
SOX
HIPAA
FISMA
Acordo de Basiléia
NIST
===============================================================================================
Regulamentação onde são discutidas questões relacionadas à indústria bancária, visando a melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional:
SOX
HIPAA
FISMA
Acordo de Basiléia
NIST
===============================================================================================
Norma que tem como principal objetivo estabelece orientações para Gestão de Riscos:
ISO 27001
ISO 27033
ISO 27002
ISO 27799
ISO 27005
===============================================================================================
Norma que tem como principal objetivo estabelecer, implementar e operar uma Sistema de gestão de Segurança da Informação (SGSI):
ISO 27001
ISO 27006
ISO 27002
ISO 27004
ISO 27005
===============================================================================================
Norma que tem como objetivo fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles:
ISO 27001
ISO 27006
ISO 27002
ISO 27004
ISO 27005
===============================================================================================
Norma que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização.
ISO 27009
ISO 27014
ISO 27011
ISO 27799
ISO 27033
===============================================================================================
Quando uma empresa, seja ela americana ou estrangeira, deve obrigatoriamente utilizar a lei Sarbane-Oxley?
Quando tem ações registradas nas bolsas de valores dos EUA.
Quando necessita implementar um sistema de gestão de segurança da informação.
Quando tem implementado e-commerce.
Quando necessita realizar uma auditoria de seus processos de trabalho.
Quando deseja aumentar a segurança de seus dados
===============================================================================================
Qual seção determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros?
404
302
204
103
304
===============================================================================================
Qual a seção que determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período, apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos?
404
302
204
103
304
===============================================================================================
Seção que define o Código de ética para os administradores, alta gerência e gerência:
404
406
204
103
304
===============================================================================================
Boa prática utilizada para mitigar a fraude nos dados dos cartões de crédito e patrocinada por bancos e bandeiras de cartão de crédito (Mastercard, por exemplo):
PCI-DSS.
SOX.
PCS.
COSO.
HIPAA.
===============================================================================================
É requerimento da categoria denominada “Manter um Programa de Gerenciamento de Vulnerabilidades”:
Desenvolver e manter sistemas e aplicativos seguros.
Manter uma política que aborde a segurança da informação.
Restringir o acesso físico aos dados do portador do cartão.
Proteger os dados armazenados do portador de cartão.
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão.
===============================================================================================
É requerimento da categoria “Implementar medidas de controle de acesso rigorosas”:
Desenvolver e manter sistemas e aplicativos seguros.
Manter uma política que aborde a segurança da informação.
Restringir o acesso físico aos dados do portador do cartão.
Proteger os dados armazenados do portador de cartão.
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão.
===============================================================================================
É requerimento da categoria “Construir e manter uma rede segura”:
Desenvolver e manter sistemas e aplicativos seguros.
Manter uma política que aborde a segurança da informação.
Restringir o acesso físico aos dados do portador do cartão.
Proteger os dados armazenados do portador de cartão.
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão.
===============================================================================================
Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação:
PDCA.
HIPAA.
CMMI.
SISP.
3W5H.
===============================================================================================
Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas.
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI.
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
===============================================================================================
Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação?
Suporte Técnico.
Auditoria.
Segregação de funções.
Conscientização dos usuários.
Procedimentos elaborados.
===============================================================================================
Segundo a Norma ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais:
Requisitos de negócio, Análise de risco, Requisitos legais.
Classificação da informação, requisitos de negócio e análise de risco.
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais.
Análise de risco, análise do impacto de negócio (BIA), classificação da informação.
Análise de vulnerabilidades, requisitos legais e classificação da informação.
===============================================================================================
A segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos, segundo a NBR ISO/IEC 27002 , estes três princípios básicos podem ser caracterizado por:
Flexibilidade, agilidade e conformidade.
Autenticidade, originalidade e abrangência.
Prevenção,proteção e reação.
Integridade, confidencialidade e disponibilidade.
Integridade, prevenção e proteção.
===============================================================================================
Segundo a norma ISO 27002, qual o propósito do gerenciamento de risco?
Determinar a probabilidade de que certo risco ocorrerá.
Propiciar a conscientização dos usuários em risco.
Determinar os danos causados por possíveis incidentes de segurança.
Utilizar medidas para reduzir os riscos para um nível aceitável.
Aplicar medidas para reduzir os riscos para um nível aceitável.
===============================================================================================
Sobre a norma ISO 27002, é correto afirmar:
Só se aplica a grandes empresas.
É um código de boas práticas de gestão de risco.
Tem como objetivo implementar um sistema de gestão em SI.
É um código de boas práticas para a gestão de segurança da informação.
Utiliza a confiabilidade, a integridade e a disponibilidade como os pilares da SI.
===============================================================================================
Uma ferramenta importante para a implantação do Compliance nas organizações é -_____________________ que deve conter regras claras, concisas e acessíveis sobre o relacionamento entre as partes da sua organização, formalizando o comportamento esperado das diversas partes envolvidas no negócio.
A Política de classificação da informação.
O Procedimento de segurança.
O Código de conduta ética.
O Acordo de sigilo.
O Sistema de gestão em SI.
===============================================================================================
Figura fundamental para a manutenção do Compliance nas organizações e que tem como responsabilidades: a definição das necessidades de normas e políticas internas, atender a legislação e regulamentação, além de zelar pelo cumprimento das diretrizes estabelecidas.
Analista de segurança.
Auditor Líder.
Analista de risco.
Analista de conformidade.
Analista de governança.
===============================================================================================
Uma ação muito importante para o sucesso de implementação do Compliance nas organizações, é o apoio ___________________ e a inclusão _____________________________.
Área de TI e política de segurança.
Alta gestão e cultura organizacional.
Área de negócio e análise de risco.
Toda organização e cultura organizacional.
Alta gestão e política de segurança.
===============================================================================================
O GRC é a integração no âmbito organizacional de três grandes ações:
Gestão, risco e conformidade.
Gerência, risco e conformidade.
Governança, gestão de risco e compliance.
Gestão de TI, Risco de TI e conformidade de TI.
Governança corporativa, risco de TI e conformidade.
===============================================================================================
Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve seguir:
Governança.
Gestão.
Compliance.
Conformidade.
Análise de risco.
===============================================================================================
Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa:
Governança.
Gestão.
Compliance.
Conformidade.
Análise de risco.
===============================================================================================
Ação fundamental para o GRC e considerada o ponto de partida para a implementação do Compliance nas organizações:
Conscientização da organização em SI.
Análise de risco.
Classificação da informação.
Auditoria periódica.
Continuidade de negócio.
===============================================================================================
Qual e regulamentação brasileira que estabelece princípios, garantias, direitos e deveres para uso da internet no Brasil:
Código Penal, art, 151
Código de Defesa do Consumidor, art 43 e 44
Lei 12.527
Constituição Federal, art, 5°
Lei 12.965
===============================================================================================
Como forma de mitigar os riscos, vários bancos e operadoras de cartão de crédito (Visa, Mastercard e American Express, entre outras) formaram um conselho para criar e recomendar melhores práticas de segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartão de credito como forma de pagamento. O resultado deste trabalho foi criado do padrão:
PCI-DSS
HIPAA
SOX
PCI-DSI
CMMI
===============================================================================================
Documento exigido pela NBR ISSO / IEC 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI:
Política de segurança
Normas de segurança
Analise de risco
Analise de vulnerabilidade
Declaração de aplicabilidade
===============================================================================================
Norma que se trata da implementação, operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI:
ISO 27004
ISO 27003
ISO 27005
ISO 27002
ISO 27001
===============================================================================================
Você é o compliance officer do banco ABC, neste caso qual a regulamentação que deve utilizar?
SOX
COBIT
Acordo de Basileia
FISMA
HIPPA
===============================================================================================
Maria necessita implementar a gestão de risco na organização em que trabalha e para isso deseja adotar as melhores práticas no assunto e seguir a orientação de norma no assunto. Neste caso, Maria deseja utilizar uma norma específica para tratar da questão em sua organização. Qual das opções abaixo representa esta norma?
ISO 27003
ISO 27005
ISO 27002
ISO 27000
ISO 27001
===============================================================================================
Norma da família 27K que fornece as diretrizes para o processo de gestão de riscos de segurança da informação:
ISO 27007
ISO 27005
ISO 27004
ISO 27006
ISO 27003
===============================================================================================
Norma da família 27K que fornece técnicas de segurança de rede:
ISO 27031
ISO 27034
ISO 27032
ISO 27033
ISO 27035
===============================================================================================
Foi projetada para ser utilizada como uma referência na seleção de controles de segurança (SGSI). Serve de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. Estamos falando da norma:
ISO 27001
ISO 27003
ISO 27004
ISO 27002
ISO 27000
===============================================================================================
A norma ISO 27002 serve de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. Não faz parte dos controles desta norma:
Segurança em processo de desenvolvimento
Implementação de um SGSI
Segurança física do ambiente
Segurança nas operações
Controle de acesso
===============================================================================================
Risco legal ou de sanções regulatórias, de perda financeira ou perda de reputação que uma instituição pode sofrer como resultado de falhas no cumprimento de leis, regulamentações, códigos de conduta e das boas práticas. Neste caso estamos falando de:
 Risco de negócio
Risco de compliance
Risco assumido
Risco tratado
Risco percebido
===============================================================================================
Auxilia as organizações na implementação dos controles de segurança. Tem como principal objetivo implementar um sistema de gestão de segurança da informação. Neste caso estamos nos referindo a norma:
ISO 27003
ISO 27000
ISO 27004
ISO 27002
ISO 27001
===============================================================================================No padrão PCI-DSS, qual dos requerimentos abaixo, pertence a seção "Construir e manter uma rede segura?
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão.
Desenvolver e manter sistemas e aplicativos seguros
Restringir o acesso físico aos dados do portador do cartão
Manter uma política que aborde a segurança da informação
Proteger os dados armazenados do portador de cartão
===============================================================================================
Segundo a _________________todos aqueles que trabalham em um hospital e tem acesso ao no mesmo. 
Pipeda, integridade 
FISMA, integridade 
GLB, confiabilidade 
Ferpa, disponibilidade 
HIPPA, confidencialidade
===============================================================================================
Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada "Construir e manter uma rede segura ": 
Manter uma política que aborde a segurança da informação 
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão 
Proteger os dados armazenados do portador de cartão 
Restringir o acesso físico aos dados do portador do cartão 
Desenvolver e manter sistemas e aplicativos seguros
===============================================================================================
Regulamenta onde são discutidas questões relacionadas à indústria bancaria, visando a melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional:
SOX
NIST
FISMA
Acordo de Basiléia
HIPAA
===============================================================================================
Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada "Implementar medidas de controle de acesso rigorosas":
Restringir o acesso físico aos dados do portador do cartão
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão
Proteger os dados armazenados do portador de cartão
Desenvolver e manter sistemas e aplicativos seguros
Manter uma política que aborde a segurança da informação
===============================================================================================
Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada " Manter um Programa de Gerenciamento de Vulnerabilidades":
Manter uma política que aborde a segurança da informação.
Proteger os dados armazenados do portador de cartão.
Restringir o acesso físico aos dados do portador do cartão.
Desenvolver e manter sistemas e aplicativos seguros.
Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão.
===============================================================================================
Ela torna os Diretores Executivos e Diretores Financeiros explicitamente responsáveis por estabelecer e monitorar a eficácia dos controles internos em relação aos relatórios financeiros e a divulgação de informações. É aplicável a todas as empresas, sejam elas americanas ou estrangeiras, que tenham ações registradas na SEC (Securities and Exchange Comission, o equivalente americano da CVM brasileira). Estamos nos referindo a:
A Norma ISO 27002
A lei SOX
A Lei Grahm -Leach- Billey
Acordo de basileia
A Lei de Proteção à Privacidade da Informação de Pacientes (HIPAA)
===============================================================================================
Seu objetivo é oferecer um conjunto de requisitos técnicos e operacionais para a proteção dos dados do portador do cartão durante o processo de pagamento realizado pelo cliente. É aplicável a todas as entidades envolvidas nos processos de pagamento do cartão e também todas as entidades que armazenam, processam ou transmitem os dados do portador do cartão (CHD) e/ou dados de autenticação confidenciais (SAD):
Acordo de Basileia
SOX
PCI-DSS
COBIT
HIPAA
Ação fundamental e considerada o ponto de partida para a implementação do Compliance nas organizações:
continuidade de negócio
conscientização da organização em SI
análise de risco
classificação da informação
auditoria periódica
===============================================================================================
Se considerarmos as diferentes ações de implementação da segurança da informação em uma organização e sua abrangência organizacional, percebemos a importância da estruturação e do planejamento das ações de segurança em curso de forma a permitir que esta organização possa monitorar a eficácia e eficiência destas ações. Neste sentido qual é a norma que trata especificamente sobre governança de segurança?
ISO 27005
ISO 27000
ISO 27001
ISO 27002
ISO 27014
===============================================================================================
Norma aplicável a empresas que já implementaram um SGSI e que necessita de diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia do sistema:
ISO 27005
ISO 27004
ISO 27007
ISO 27006
ISO 27003
===============================================================================================