Baixe o app para aproveitar ainda mais
Prévia do material em texto
Parte superior do formulário Fechar GESTÃO DE SEGURANÇA DA INFORMAÇÃO Lupa Exercício: CCT0059_EX_ Matrícula: Aluno(a): Data: (Finalizada) 1a Questão (Ref.: 201401750215) Fórum de Dúvidas (1 de 1) Saiba (0) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. 2a Questão (Ref.: 201401750212) Fórum de Dúvidas (1) Saiba (0) A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O serviço de iluminação O equipamento de comunicação A reputação da organização A base de dados e arquivos O plano de continuidade do negócio. 3a Questão (Ref.: 201401578551) Fórum de Dúvidas (1 de 1) Saiba (0) De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. revelar informações sensíveis da organização. conter o registro dos incidentes de segurança da organização. Gabarito Comentado 4a Questão (Ref.: 201401578532) Fórum de Dúvidas (1 de 1) Saiba (0) Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Gabarito Comentado 5a Questão (Ref.: 201401254675) Fórum de Dúvidas (1 de 1) Saiba (0) Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Classificação da informação, requisitos de negócio e análise de risco Requisitos de negócio, Análise de risco, Requisitos legais Análise de vulnerabilidades, requisitos legais e classificação da informação Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 6a Questão (Ref.: 201401275011) Fórum de Dúvidas (1 de 1) Saiba (0) A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Gabarito Comentado Parte inferior do formulário
Compartilhar