N1 seguranca

Prévia do material em texto

Questão 1  
  
A empresa SIST TECNOLOGIA está fazendo o levantamento das estratégias que a empresa CONSULTE Service implementará de acordo com a política e seus objetivos. Descreva os requisitos necessários para estabelecer o SGSI nas etapas de definição do escopo e de definição da política da CONSULTE Service. 
O escopo é proteger as informações sigilosas e estratégicas dos clientes da
organização nos setores de Auditoria contábil e Consultoria tributária, de acordo
com as definições descritas abaixo:
- Conhecer a planta baixa arquitetônica da empresa e os tipos de meios de
acesso a rede, para ter uma avaliação dos riscos em relação a forma de
acesso a rede de informações da organização .
- Relação nomes e contato de gerente de Auditoria contábil e Consultoria
tributária.
- Assegura-se de que o objetivos da segurança da informação está alinhado
com as estratégias de negócio da empresa.
- Avaliar riscos incluindo a identificação de sistemas de informação e de
relações contratuais.
- Determinar recursos.
- Determinar papéis de responsabilidade de segurança da informação
- Determinar capacidade.
- Identificar assuntos internos e externos.
- Identificar e entender das partes interessadas as necessidades e
expectativas.
- Também é possível realizar a analise PEST, na qual identifica, assuntos
políticos, econômicos, sociais e tecnológicos no ambiente da organização..
- Coletar informações de todos os colaboradores dos setores da organização
abrangendo diferentes equipes tendo assim a definição das necessidades da
organização em termos funcionais para delimitação da política do sistema.
O escopo é proteger as informações sigilosas e estratégicas dos clientes da
organização nos setores de Auditoria contábil e Consultoria tributária, de acordo
com as definições descritas abaixo:
- Conhecer a planta baixa arquitetônica da empresa e os tipos de meios de
acesso a rede, para ter uma avaliação dos riscos em relação a forma de
acesso a rede de informações da organização .
- Relação nomes e contato de gerente de Auditoria contábil e Consultoria
tributária.
- Assegura-se de que o objetivos da segurança da informação está alinhado
com as estratégias de negócio da empresa.
- Avaliar riscos incluindo a identificação de sistemas de informação e de
relações contratuais.
- Determinar recursos.
- Determinar papéis de responsabilidade de segurança da informação
- Determinar capacidade.
- Identificar assuntos internos e externos.
- Identificar e entender das partes interessadas as necessidades e
expectativas.
- Também é possível realizar a analise PEST, na qual identifica, assuntos
políticos, econômicos, sociais e tecnológicos no ambiente da organização..
- Coletar informações de todos os colaboradores dos setores da organização
abrangendo diferentes equipes tendo assim a definição das necessidades da
organização em termos funcionais para delimitação da política do sistema.
O objetivo é proteger as informações confidenciais e estratégicas dos clientes de consultoria contábil e fiscal da organização de acordo com as condições descritas abaixo: 
- Conhecer o plano mestre arquitetônico e os tipos de acesso à rede da empresa, para obter uma avaliação dos riscos associados ao acesso. Rede de informações da organização. 
- Lista de nomes e pessoas de contato do chefe da auditoria contábil e consultoria tributária. 
- Garante que os objetivos de segurança da informação sejam consistentes com as estratégias de negócios da empresa. 
- Avaliação de risco, incluindo identificação de sistemas de informação e relações contratuais. 
- Definir recursos. - Definir funções de responsabilidade de segurança - Definir recursos. - Identificar problemas internos e externos. - Identificar e compreender as necessidades e expectativas das partes interessadas. 
- Também é possível realizar uma análise PEST, onde são identificados problemas políticos, econômicos, sociais e tecnológicos no ambiente da organização. 
- Recolher informação de todos os colaboradores dos setores da organização, abrangendo diferentes equipas, definindo assim operacionalmente as necessidades da organização para definir a política do sistema.
  
Questão 2 
  
Como a eficiência poderia ser avaliada pela empresa SIST TECNOLOGIA na etapa de monitoramento e análise crítica do SGSI após a implantação do sistema na empresa CONSULTE Service? Justifique sua resposta. 
• implementação de medidas de acompanhamento e análises críticas; 
• realizar auditorias regulares e analisar resultados e falhas de segurança; 
• avaliar os requisitos de segurança dos dispositivos de controle; 
• análise e avaliação de risco e níveis de risco aceitáveis; 
• Auditorias internas; 
• analisar criticamente em termos de gestão corporativa e identificar melhorias de processos; 
• Atualização dos planos de segurança da informação tendo em conta os resultados da monitorização e análise crítica; 
• Registro de atividades que afetam a eficiência ou desempenho do SGSI. Todas as etapas acima são a base para o sucesso do plano, devem ser seguidas e implementadas de forma concisa.
  
Questão 3 
  
Para que a implantação do SGSI na empresa CONSULTE Service tenha sucesso, garanta a melhoria contínua e atinja os objetivos definidos pela empresa, quais as ações devem ser tomadas? Justifique sua resposta.
• Com a adoção do Processo de PDCA “Plan-Do-Check-Act” para estrutur ar todo s os 
• Com a adoção do Processo de PDCA “Plan-Do-Check-Act” para estrutur ar todo s os 
• Com a adoção do Processo de PDCA “Plan-Do-Check-Act” para estrutur ar todo s os 
A norma ISO/IEC 27002 está estruturada em 11 s eções , ao tod o, são 133 co ntroles 
Aplicando o processo PDCA "Plan-Do-Check-Act" para estruturar todos os processos do SGSI. Considera os requisitos de segurança da informação e as expectativas das partes interessadas.
A norma ISO/IEC 27002 está estruturada em 11 partes, com um total de 133 instruções, que estão divididas em:
 (1) política de segurança da informação, 
(2) organização da segurança da informação, 
(3) g estão de ativos, 
(4) segurança em recursos humanos, 
(5) segurança física e de ambiente,
(6) gerenciamento das operações e comunicações, 
(7) controle de acesso, 
(8) aquisição, desenvolvimento e manutenção de sistemas de informação, 
(9) gerenciamento de incidentes de segurança da informação, 
(10) gerenciamento da continuidade do negócio e 
(11) conformidade legal. 
 
Sem um plano de melhoria contínua, os processos podem apresentar deficiências como desperdício de material, estoque, distribuição.