Baixe o app para aproveitar ainda mais
Prévia do material em texto
Parte superior do formulário GESTÃO DE SEGURANÇA DA INFORMAÇÃO Lupa Exercício: CCT0185_EX_A7_200901339311 Matrícula: 200901339311 Aluno(a): LIDIAN VILAZIO PORFIRIO DA SILVA Data: 15/11/2016 00:00:17 (Finalizada) 1a Questão (Ref.: 200901419021) Fórum de Dúvidas (2) Saiba (0) Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Autenticidade, originalidade e abrangência Integridade, confidencialidade e disponibilidade Prevenção, proteção e reação Flexibilidade, agilidade e conformidade Integridade, prevenção e proteção 2a Questão (Ref.: 200901432227) Fórum de Dúvidas (2) Saiba (0) Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27001 ISO/IEC 27003 ISO/IEC 27005 ISO/IEC 27004 ISO/IEC 27002 Gabarito Comentado 3a Questão (Ref.: 200902113960) Fórum de Dúvidas (2) Saiba (0) A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O plano de continuidade do negócio. A base de dados e arquivos A reputação da organização O serviço de iluminação O equipamento de comunicação 4a Questão (Ref.: 200902113977) Fórum de Dúvidas (1 de 2) Saiba (0) Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. 5a Questão (Ref.: 200902113968) Fórum de Dúvidas (2) Saiba (0) A gestão da continuidade do negócio está associada, a não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Analise: I. Registros importantes devem ser protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio; II. Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade; III. Deve ser desenvolvida e implementada uma política para o uso de controles criptográficos para a proteção da informação. IV. Devem ser identificados os eventos que podem causar interrupções aos processos de negócio, junto à probabilidade e impacto de tais interrupções e as conseqüências para a segurança de informação; Quanto aos controles relacionados à gestão da continuidade do negócio, marque a opção correta: II e IV, somente I, II e IV, somente I e III, somente I e II, somente I, II e III, somente Gabarito Comentado 6a Questão (Ref.: 200901519872) Fórum de Dúvidas (1 de 2) Saiba (0) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 7a Questão (Ref.: 200901942286) Fórum de Dúvidas (1 de 2) Saiba (0) Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 5-1-4-3-2. 2-3-1-5-4. 1-2-4-3-5. 4-3-5-2-1. 4-3-1-2-5. Gabarito Comentado 8a Questão (Ref.: 200902113963) Fórum de Dúvidas (1 de 2) Saiba (0) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Fechar Parte inferior do formulário
Compartilhar