Normas de Segurança da Informação

Prévia do material em texto

Lista de Exercícios - CESPE
Gestão de Segurança da Informação
(ABIN 2010 – Cargo 17 – Oficial – Redes) Com base 
no disposto na norma ABNT NBR ISO/IEC 
27002:2005, julgue os itens que se seguem.
120 Os proprietários dos ativos organizacionais devem 
ser identificados, e a responsabilidade pela manutenção 
apropriada dos controles deve ser a eles atribuída. Os 
proprietários permanecem responsáveis pela proteção 
adequada dos ativos, mesmo que a implantação específica 
de controles seja delegada.
121 Funcionários, fornecedores e terceiros devem ser 
instruídos a averiguar, imediatamente, qualquer 
fragilidade na segurança de informação suspeita.
122 No âmbito da de segurança da informação, não 
existem riscos aceitáveis; por isso, todos os riscos devem 
ser controlados, evitados ou transferidos.
123 Para reaproveitar as mídias de armazenamento que 
contenham dados sensíveis, é suficiente formatá-las 
usando a função padrão de formatar.
(ABIN 2010 – Cargo 9 – Oficial – Sistemas) A respeito 
de segurança da informação, julgue os próximos itens.
109 A norma ABNT NBR ISO/IEC 27002 apresenta 
critérios para a organização geral do sistema de gestão da 
segurança da informação. Por ser uma norma genérica, 
que apenas propõe diretrizes, não pode ser utilizada para 
fins de certificação, pois não apresenta controles 
específicos a serem tomados como base para a proteção 
de ativos em uma empresa.
110 A gestão da continuidade de negócios é um 
processo que deve ser realizado no caso de perdas no 
funcionamento rotineiro de um ambiente computacional. 
Por envolver excessivos recursos humanos, financeiros e 
de informação, uma empresa somente deve defini-lo caso 
tenham sido identificadas ameaças potenciais que possam 
ocasionar riscos imediatos ao negócio.
(ANEEL 2010 – Analista – Área 3) Com relação às 
características e aos elementos de um modelo de 
sistema de gestão de segurança da informação (SGSI) 
de uma organização, segundo as normas NBR 
ISO/IEC 27001 e NBR ISO/IEC 27002, julgue os itens 
de 110 a 114.
110 Os objetivos de controle e os controles pertinentes 
e aplicáveis ao SGSI da organização devem ser 
selecionados exclusivamente com base nos resultados e 
conclusões dos processos de análise/avaliação de riscos e 
de decisões acerca de como controlar, evitar, transferir ou 
aceitar tais riscos.
111 A análise crítica do SGSI da organização deve ser 
efetuada periodicamente pela alta direção, considerando 
os resultados de auditorias externas, entre outras 
informações. Essa análise assegura a contínua pertinência, 
adequação e eficácia do SGSI, e produz versões 
atualizadas da análise/avaliação de riscos e do plano de 
tratamento de riscos.
112 A melhoria contínua do SGSI ocorre na forma de 
ações corretivas e preventivas, entre outras. Um exemplo 
de ação corretiva é a alteração na redação do documento 
da política de segurança da informação para melhorar sua 
compreensibilidade e eliminar ambiguidades que levaram 
a não conformidades no cumprimento dessa política. Um 
exemplo de ação preventiva é a adoção de novos 
controles de acesso ao ambiente físico.
113 A classificação, a aposição de rótulos e o 
tratamento de um ativo de informação, em termos do seu 
valor, requisitos legais, sensibilidade e criticidade para a 
organização, são efetuados pelos usuários desse ativo.
114 Para cada usuário ou grupos de usuários, deve ser 
efetuada uma política de controle de acesso com regras e 
direitos, com os controles de acesso lógico e físico bem 
integrados.
Julgue os itens a seguir, a respeito das características e 
das ações relativas a uma organização que possui 
gestão de riscos e gestão de continuidade de negócios 
aderentes às normas ISO/IEC 27005 e NBR 15999.
115 Toda informação sobre ativos, ameaças, 
vulnerabilidades e cenários de risco levantada durante as 
análises/avaliações de risco deve ser comunicada por 
meio de uma wiki web acessível no escopo da intranet na 
organização.
116 A gestão de continuidade de negócios é 
complementar à gestão de riscos e tem como foco o 
desenvolvimento de uma resposta a uma interrupção 
causada por um incidente de difícil previsão, 
materializada na forma de um plano de continuidade de 
negócios.
117 Os processos de preparação e manutenção de 
resposta devem ser definidos segundo uma política de 
gestão de continuidade de negócios.
118 Um dos resultados da avaliação de riscos é a 
produção de uma declaração de atividades críticas.
(TCU 2010 – AFCE – TI) Acerca da gestão de 
segurança da informação, julgue os itens a seguir com 
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
base nas Normas NBR ISO/IEC 27001 e 27002.
176 Os requisitos do negócio para o processamento de 
informação, que uma organização tem de desenvolver 
para apoiar suas operações, estão entre as fontes 
principais de requisitos de segurança da informação.
177 A Norma NBR ISO/IEC 27001 estabelece o código 
de prática para a gestão da segurança da informação e a 
Norma NBR ISO/IEC 27002 trata dos requisitos dos 
sistemas de gestão de segurança da informação.
178 Aplicando-se o ciclo PDCA (plan, do, check, act) 
aos processos do sistema de gestão da segurança da 
informação (SGSI), constata-se que, no SGSI, o do (fazer) 
equivale a executar as ações corretivas e preventivas para 
alcançar a melhoria contínua do SGSI.
179 Estão entre os objetivos da segurança da 
informação a garantia da continuidade do negócio, a 
minimização dos riscos para o negócio e a maximização 
do retorno sobre os investimentos.
Julgue os itens subsequentes, relativos às Normas NBR 
ISO/IEC 15999 e 27005.
180 A norma NBR ISO/IEC 27005 prescreve que o 
gerenciamento de incidentes pode ser realizado iniciando-
se com uma definição de contexto, seguido por uma 
análise e avaliação, tratamento, aceitação, comunicação, 
monitoramento e análise crítica dos incidentes.
181 A norma NBR ISO/IEC 15999 destina-se a orientar 
as empresas no que fazer a partir do momento em que 
acontecer algum incidente, oferecendo respostas às 
ameaças sofridas e seus impactos nas operações do 
negócio.
(MPU 2010 – Cargo 24 – Analista de BD) Julgue os 
próximos itens, segundo a norma ABNT NBR 
ISO/IEC 27002:2005.
142 O termo integridade no escopo da referida norma 
diz respeito à salvaguarda da exatidão e integridade das 
informações e métodos de processamento utilizados para 
a manipulação da informação.
143 A referida norma, bem como suas atualizações 
correntes, apresenta um código de boas práticas para a 
gestão de segurança da informação, portanto, é adequada 
para usuários responsáveis por iniciar, implementar, 
manter e melhorar sistemas de gestão de segurança da 
informação.
144 O padrão atual da norma em questão constitui-se 
em uma revisão da primeira versão dessa norma publicada 
pela ISO/IEC, em 2000. À época, essa norma era cópia da 
norma britânica British Standard (BS) 7799-1:1999.
145 No que diz respeito aos aspectos de preservação da 
confidencialidade, a norma em apreço estabelece práticas 
adequadas para garantir que a informação esteja acessível 
a todas as pessoas interessadas em acessá-la.
Considerando aspectos de composição da norma 
ABNT NBR ISO/IEC 27002:2005, julgue os itens 
subsequentes.
146 Como a norma mencionada estabelece um guia das 
melhores práticas para a gestão de segurança da 
informação, cabe ao gestor de cada organização avaliar os 
riscos do ambiente organizacional, determinar os 
requisitos específicos e entãoselecionar os controles 
apropriados à situação organizacional em questão. 
Verifica-se, então, que a avaliação de risco é fundamental 
no processo de estabelecimento dos controles de gestão de 
segurança, sendo recomendado que esse procedimento 
seja voltado aos aspectos subjetivos do gestor.
147 A seção da norma em questão que trata de 
compliance prevê aspectos para assegurar a conformidade 
com políticas de segurança da informação, normas, leis e 
regulamentos.
148 Para se implantar um sistema de gestão de 
segurança da informação adequado ao ambiente 
organizacional, é suficiente atender o previsto nas 
diversas seções da norma em apreço, a qual detalha 
também os padrões específicos, os quais são mandatórios 
e independem do ramo de atuação da organização.
149 A referida norma contém seções iniciais e doze 
seções principais acerca de diversos temas de segurança, 
como, por exemplo, a gestão de ativos.
150 A referida norma tem uma seção específica de 
gerenciamento de continuidade, que trata da criação e 
validação de um plano logístico acerca de como uma 
organização pode realizar ações no sentido de recuperar e 
restaurar, parcial ou completamente, os serviços 
interrompidos. Esse plano logístico, também denominado 
business continuity plan (BCP), não se aplica ao gestor 
público, pois este não pertence a uma organização de 
negócios.
(MPU 2010 – Cargo 26 – Informática - Perito) Acerca 
da norma NBR ISO/IEC 27002:2005, julgue os 
próximos itens.
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
141 A adoção de senhas de qualidade por parte dos 
usuários são recomendações para implantar uma política 
de uso de chaves e senhas. Alguns aspectos, citados na 
norma, característicos de senhas de qualidade são senhas 
fáceis de serem lembradas, que não sejam vulneráveis a 
ataques de dicionário e que sejam isentas de caracteres 
idênticos consecutivos.
142 Estimar a probabilidade de uma ameaça se 
concretizar dentro do ambiente computacional e 
identificar os impactos que um evento de segurança pode 
acarretar são atividades resultantes da análise/avaliação de 
riscos.
143 Os principais fatores críticos de sucesso 
apresentados na referida norma incluem política de 
segurança, abordagem e estrutura da segurança 
consistente com a cultura organizacional, 
comprometimento de todos os níveis gerenciais, 
entendimento dos requisitos de segurança e divulgação da 
segurança.
144 Controle é, segundo essa norma, qualquer sistema 
de processamento da informação, serviço ou 
infraestrutura, ou as instalações físicas que os abriguem.
145 Os controles necessários para se fazer uma 
adequada análise e avaliação de riscos devem ser retirados 
apenas da norma 27002, por ser completa e atual. Essa 
norma garante, em seu escopo, todas as ações de 
segurança necessárias para qualquer ambiente 
computacional.
146 Uma das recomendações adequadas para a gestão 
de ativos é que o requisito de rotulação e tratamento 
seguro da classificação da informação é fundamental para 
que sejam definidos os procedimentos de 
compartilhamento da informação, seja ela interna ou 
externa à organização.
147 A segurança de equipamentos descartados da 
organização segue as recomendações de outras normas 
relativas à reciclagem de resíduos sólidos e, por isso, não 
está prevista em uma recomendação específica da norma 
27002.
148 Com o objetivo de otimizar o uso de um ambiente 
de desenvolvimento de software quanto aos 
procedimentos e responsabilidades operacionais relativos 
ao gerenciamento das operações e das comunicações, uma 
organização deve garantir que software em 
desenvolvimento e software em produção partilhem de 
sistemas e processadores em um mesmo domínio ou 
diretório, de modo a garantir que os testes sejam 
compatíveis com os resultados esperados no mundo real.
149 Os controles referentes à segurança de redes, que 
estabelecem que as redes devam ser gerenciadas e 
controladas e que os níveis e requisitos de gerenciamento 
sejam implementados, estão presentes no capítulo da 
norma que se refere ao controle de acessos.
150 O filtro de tráfego realizado por gateways no 
controle de conexões de uma rede deve ser feito por meio 
de restrições predefinidas em tabelas ou regras para 
aplicações, como, por exemplo, uso de correio eletrônico, 
acesso interativo e transferência de arquivos.
(MPU 2010 – Cargo 27 – Suporte) Com relação à 
segurança da informação e à norma ABNT NBR 
ISO/IEC 27002:2005, julgue os itens que se seguem.
149 Vulnerabilidade, em segurança de sistemas 
computacionais, é uma falha no projeto, implementação 
ou configuração do sistema operacional, ou de outro 
software, que, quando explorada por um atacante, permite 
a violação da integridade de um computador.
150 Segundo a referida norma, por meio da gestão de 
ativos, é possível identificar as ameaças aos ativos e suas 
vulnerabilidades e realizar uma estimativa da 
probabilidade de ocorrência e do impacto potencial ao 
negócio.
(TRT 21a – Cargo 11 – Analista de TI) Com relação às 
normas NBR ISO/IEC 27001 e 27002, referentes à 
gestão de segurança da informação, julgue os itens que 
se seguem.
101 O objetivo de controle Controles de Entrada Física 
estabelece que perímetros de segurança (barreiras, como 
paredes, portões de entrada controlados por cartão ou 
balcões de recepção com recepcionistas) devem ser 
utilizados para proteger as áreas que contenham 
informações e recursos de processamento da informação.
102 O objetivo de controle Análise Crítica dos Direitos 
de Acesso de Usuário estabelece que deve existir um 
procedimento formal de registro e cancelamento de 
usuário para garantir e revogar acessos em todos os 
sistemas de informação e serviços.
103 O objetivo de controle Uso Aceitável dos Ativos 
estabelece que devem ser identificadas, documentadas e 
implementadas regras para que seja permitido o uso de 
informações e de ativos associados aos recursos de 
processamento da informação.
104 Incidente de segurança da informação é uma 
ocorrência identificada de um sistema, serviço ou rede 
que indica uma possível violação da política de segurança 
da informação ou falha de controles, ou uma situação 
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
previamente desconhecida, que possa ser relevante para a 
segurança da informação.
105 Um dos controles da política de segurança da 
informação estabelece que ela deve ser analisada 
criticamente a intervalos planejados ou quando mudanças 
significativas ocorrerem, para assegurar a sua contínua 
pertinência, adequação e eficácia.
(Adaptada) Com referência à norma NBR ISO/IEC 
27005 e a respeito de gestão de riscos, julgue os itens a 
seguir.
106 Os processos que fazem parte da análise/avaliação 
de riscos são identificação de riscos, estimativa de riscos e 
avaliação de riscos.
(ANAC 2009 – Cargo 7 – TI) Com relação à norma 
ISO 27001, julgue os itens a seguir.
96 A norma em questão trata da definição de 
requisitos para um sistema de gestão de segurança da 
informação.
97 Na definição de um sistema de gestão de segurança 
da informação, deve-se definir o escopo, a política e a 
abordagem para a identificação de riscos, bem como 
identificar e avaliar alternativas para o tratamento dos 
mesmos.
98 Apesar de recomendável, a aceitação de riscos 
residuaisnão precisa necessariamente passar pela 
aprovação da gestão superior da organização.
99 Na implementação e operacionalização do sistema 
de gestão de segurança da informação, deve-se medir a 
eficácia dos controles propostos.
100 O sistema de gestão de segurança da informação é 
o sistema global de gestão, embasado em uma abordagem 
de risco, que permite definir, implementar, 
operacionalizar e manter a segurança da informação.
A ISO 27001 estabelece uma abordagem de processos, 
baseada no ciclo PDCA. Considerando a figura acima, 
julgue os itens a seguir, a respeito de segurança da 
informação, segundo a ISO 27001.
111 Disponibilidade é a garantia de que a informação é 
acessível ou revelada somente a pessoas, entidades ou 
processos autorizados a acessá-la.
112 Um evento de segurança de informação é uma 
ocorrência em um sistema, serviço ou estado de rede que 
indica, entre outras possibilidades, um possível desvio em 
relação aos objetivos de segurança específicos da 
organização, e um incidente de segurança de informação é 
um evento único ou uma série de eventos indesejados de 
segurança da informação que possuem um impacto 
mediano sobre os negócios.
113 Para que receba um nível de proteção adequada, a 
informação deve ser classificada quanto a seu valor, 
requisitos legais, sensibilidade e criticidade.
114 A política de segurança da informação dispõe de 
regras relativas ao estabelecimento do fórum 
multifuncional para coordenação da segurança da 
informação.
115 Os controles para o gerenciamento da continuidade 
dos negócios têm a finalidade de neutralizar a 
possibilidade de interrupções nas atividades do negócio e 
proteger os processos de negócio críticos contra falhas 
diversas, não mantendo nenhuma relação com os 
controles de compliance, uma vez que, para a ISO, a 
informação é classificada quanto a seu valor e impacto 
para a organização, mas não quanto a requisitos legais.
(ANATEL – Cargo 8 – Negócios) A figura acima, 
obtida na norma ABNT NBR ISO/IEC 27001:2006, 
apresenta um modelo de gestão da segurança da 
informação. Julgue os itens subsequentes acerca das 
informações apresentadas e dos conceitos de 
segurança da informação.
83 Considere as diferentes fases do ciclo de gestão no 
modelo da figura — plan, do, check e act. A definição de 
critérios para a avaliação e para a aceitação dos riscos de 
segurança da informação que ocorrem no escopo para o 
qual o modelo da figura está sendo estabelecido, 
implementado, operado, monitorado, analisado 
criticamente, mantido e melhorado ocorre, primariamente, 
durante a fase do.
84 A análise de vulnerabilidades aplicável no contexto 
da figura emprega técnicas automatizadas e manuais, que 
variam amplamente, sendo o tipo de ameaça sob análise 
um fator mais correlacionado a essa variação que o tipo 
do ativo sob análise.
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
85 A classificação da informação é um objetivo de 
controle explicitamente enunciado pela norma ABNT 
NBR ISO/IEC 27001:2006 e que agrega dois controles, 
sendo um deles relacionado a recomendações para 
classificação e o outro, ao uso de rótulos.
86 A identificação de eventos que podem causar 
interrupções aos processos de negócio e das 
probabilidades e impactos de tais interrupções, associada 
às consequências para a segurança de informação, 
constitui atividade executada no âmbito da gestão de 
continuidade de negócios, embora se constitua, mais 
especificamente, atividade de análise de risco.
87 Acerca das normas ABNT NBR ISO/IEC 
27001:2006 e ABNT NBR ISO/IEC 17799:2005, é 
correto afirmar que ambas apresentam orientações para a 
seleção de controles de segurança e enunciam menos de 
uma centena de controles.
88 Testes de mesa, testes de recuperação em local 
alternativo e ensaio geral são técnicas que podem ser 
empregadas na gestão da continuidade de negócios, 
conforme prescrição na norma ABNT NBR ISO/IEC 
17799:2005.
(ANTAQ 2009 – Cargo 9 – TI) Tendo como referência a 
figura acima, que propõe uma classificação de controles 
de segurança, julgue os itens de 73 a 78.
73 São exemplos de controles físicos: guardas 
armados, detecção de intrusão em redes de computadores 
e monitoramento de incêndio e umidade.
74 São exemplos de controles administrativos: as 
políticas de segurança, os procedimentos de classificação 
da informação e a identificação e autenticação de 
sistemas.
75 O desenvolvimento a de uma estrutura básica de 
um plano de continuidade do negócio constitui controle 
com foco administrativo; os ativos de processo contidos 
no plano referido, em geral, são críticos ao negócio da 
organização e apresentam objetivos de tempo de 
recuperação da ordem de poucos segundos.
76 A análise de vulnerabilidades, quando realizada no 
arcabouço de uma atividade de análise de riscos, é 
precedida, usualmente, da análise de ameaças, mas 
antecede a análise de controles, podendo cada controle 
inexistente ser traduzido em uma vulnerabilidade 
existente.
77 Se determinada parte de um ativo de informação é 
classificada como confidencial, é possível que o grau de 
sigilo atribuído a esse ativo seja secreto ou ultrassecreto, 
não devendo o ativo ser classificado como reservado.
78 As normas ABNT NBR ISO/IEC 27001:2006 e 
ABNT NBR ISO/IEC 17799:2005 enunciam um mesmo 
conjunto de mais de cento e trinta controles de segurança, 
os quais, por sua vez, são agrupados em mais de 30 
objetivos de controle, sendo a primeira das normas de 
redação mais abstrata que a segunda e com estrutura de 
seções parcialmente correspondente à da norma ABNT 
NBR ISO 9001:2000.
(TCU 2009 – AFCE-TI) Acerca do processo ilustrado 
na figura acima, que apresenta as principais 
atividades envolvidas na gestão de riscos, conforme a 
ABNT NBR ISO/IEC 27005, publicada em 2008, 
julgue os próximos itens.
167 Durante o início da adoção da gestão de riscos em 
uma organização, a aplicação de métodos quantitativos 
para cálculo do nível de risco ocorre principalmente 
durante a estimativa de riscos e tende a oferecer 
resultados mais confiáveis e eficazes comparativamente 
ao uso de métodos quantitativos, sobretudo quando os 
ativos no escopo apresentam elevada intangibilidade.
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
168 A alta gestão da organização em escopo exerce 
maior influência sobre o ponto de decisão 1 que sobre o 
ponto de decisão 2, bem como contribui ativamente para 
prover informações quanto às fases de identificação de 
riscos, de definição do contexto e de análise crítica de 
riscos.
A respeito do diagrama acima, que apresenta um 
modelo conceitual sistêmico da norma ABNT NBR 
ISO/IEC 27001, julgue os itens 169 e 170.
169 No modelo em apreço, o subsistema de 
planejamento do SGSI possui sobreposição de atividades 
com a fase de definição do contexto presente na norma 
ABNT NBR ISO/IEC 27005 bem como produz uma 
informação de saída similar àquela produzida durante o 
processo de aceitação do risco da mesma ABNT NBR 
ISO/IEC 27005.
170 Entre os documentos e registros cujo controle é 
demandado pela norma ABNT NBR ISO/IEC 27001, 
destacam-se como documentos a declaração da política de 
segurança, o relatório de análise/avaliação de risco e a 
declaração de aplicabilidade; além disso, destacam-se 
como registros os livros de visitantes, os relatórios deauditoria, as ocorrências de incidentes de segurança e 
outros registros, inclusive de não conformidade.
(INMETRO 2009 – Cargo 5 – Desenvolvimento) A 
respeito dos conceitos de políticas, de normas e de 
modelos de segurança em TI, julgue os seguintes itens.
52 A análise crítica e periódica da política de 
segurança da informação de uma organização, conforme 
preconizada pelas normas NBR ISO/IEC 27001 e NBR 
ISO/IEC 17799, deve ser uma ação de responsabilidade 
dos gestores de segurança dessa organização.
53 Acerca de parâmetros para criação de políticas de 
gerenciamento de senhas considera-se que: para sítios 
com baixa necessidade de segurança, é indicado que um 
usuário empregue uma senha comum a todos os sítios; a 
exigência de que usuários nunca escrevam a senha em um 
papel, pois esta atitude pode tornar difícil a gerência de 
senhas, havendo outras formas de garantir segurança que 
permitam o registro de senhas escritas; o aumento da 
frequência de troca de senhas, o que tende a diminuir a 
força das senhas empregadas.
54 Em um conjunto de práticas de segurança física 
estabelecidas pela NBR ISO/IEC 17799 destaca-se: o uso 
de perímetros de segurança; a proteção contra ameaças do 
meio ambiente; a segurança do cabeamento de energia e 
telecomunicações; a manutenção de equipamentos e a 
autorização prévia quando da retirada de equipamentos, 
informações e software do sítio gerenciado.
55 A norma NBR ISO/IEC 27001 difere da NBR ISO/
IEC 17799 quanto ao estabelecimento de requisitos para 
certificação, o qual ocorre na primeira, e quanto a um 
detalhamento de código de prática, o qual ocorre na 
segunda. Por outro lado, o emprego do ciclo PDCA (Plan-
Do-Check-Act) para a melhoria contínua de um sistema 
de gestão de segurança é descrito em ambas.
58 O arcabouço de organização dos requisitos da 
norma NBR ISO/IEC 27001 deriva da família de normas 
ISO 9000, especialmente no que se refere à gestão de 
documentação.
(IPEA 2008 – Cargo 3 – Negócios) A ISO 17799 diz que 
a segurança da informação protege a informação de 
diversos tipos de ameaças para garantir a 
continuidade dos negócios, minimizar os danos aos 
negócios e maximizar o retorno dos investimentos e as 
oportunidades de negócios. Relativos a segurança de 
informações, julgue os itens de 64 a 68.
64 A identificação dos requisitos de segurança da 
informação se dá por meio da avaliação dos riscos dos 
ativos de informação, pela legislação vigente ou por meio 
do conjunto de princípios, objetivos e requisitos para o 
processamento da informação. A organização deverá 
garantir que a segurança seja parte integrante dos sistemas 
de informação.
65 Quando a responsabilidade pelo processamento da 
informação é terceirizada para outra organização, o 
acordo de terceirização deve contemplar os controles de 
segurança e procedimentos para os sistemas de 
informação, rede de computadores e estações de trabalho 
excluídos os riscos, uma vez que estão contemplados em 
planos de continuidade do negócio.
66 As ameaças e vulnerabilidades mais freqüentes e 
controles implementados são insumos para o cálculo das 
probabilidades de ocorrência das falhas de segurança 
expressas em fatores exógenos sem levar em conta as 
potenciais conseqüências da perda de confidencialidade, 
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
integridade ou disponibilidade da informação ou de outros 
ativos.
67 Sob o ponto de vista legal, os controles 
considerados essenciais são a proteção de dados e 
privacidade de informações pessoais; o documento de 
política de segurança da informação e os relatórios de 
incidente, não considerados os direitos de propriedade 
intelectual.
68 A segurança da informação é caracterizada pela 
preservação da confidencialidade, integridade e 
disponibilidade e se dá por meio de uma série de controles 
que podem ser políticas, práticas, procedimentos, 
estruturas organizacionais, excluídas as funções de 
software.
(TCU 2008 – AFCE-TI – Adapt.) Considerando a 
necessidade de as organizações da administração 
pública federal adequarem suas infra-estruturas de TI 
e suas práticas gerenciais aos requisitos de normas, 
julgue os itens subseqüentes.
181 Se o administrador da segurança da informação de 
uma organização da administração pública decidir 
priorizar a implementação de controles, com o objetivo de 
realizar a gestão de incidentes de segurança da 
informação e sua melhoria contínua, ele estará 
implementando um controle essencial da norma 
17799/2005.
182 Segundo a norma 17799/2005, no caso de 
desenvolvimento de software por mão-de-obra 
terceirizada, é necessário estabelecer controles adicionais 
para testar e detectar, antes da instalação desse software, a 
presença de código troiano.
183 Considerando-se que, em muitas organizações 
públicas, há urgência na adoção de controles visando-se à 
melhoria do atual nível de segurança da informação, um 
administrador de segurança da informação deve 
implementar, independentemente da análise e da 
avaliação de riscos de segurança da informação em curso, 
um conjunto de controles mínimos — controles primários 
—, os quais, segundo a norma 17799/2005, devem ser 
implementados em todos os casos.
184 As ameaças e perturbações da ordem pública que 
podem, eventualmente, afetar o funcionamento de uma 
organização pública federal, mesmo que apenas 
indiretamente relacionadas aos sistemas de tecnologia da 
informação e comunicação (TIC) dessas organizações, 
devem ser consideradas nas diretrizes de implementação 
de controle de proteção do meio ambiente e contra 
ameaças externas, conforme previsto na norma 
17799/2005.
MCT 2008 – Cargos Diversos 
117 Segundo a norma ISO 27002, a análise de riscos 
deve ser repetida periodicamente, de modo a levar em 
conta quaisquer modificações que tenham influenciado os 
resultados de análise de riscos feita anteriormente.
119 Uma organização que deseje implantar um sistema 
de gestão de segurança da informação (SGSI) deve adotar 
como base a norma ABNT NBR ISO/IEC 27001:2006.
120 A seção 5 da norma ISO/IEC 27001 trata de como 
a informação deve ser classificada, de acordo com a sua 
necessidade de segurança e controle de acesso.
119A A norma ISO 27001 adota o modelo plan-do-
check-act (PDCA), que éaplicado para estruturar todos os 
processos dos sistemas de gestão de segurança da 
informação — information security management system 
(ISMS).
120B Dependendo de seu tamanho ou natureza, uma 
organização pode considerar um ou mais requisitos da 
norma ISO 27001 como não-aplicáveis e, ainda assim, 
continuar em conformidade com essa norma 
internacional.
Serpro 2010
57 A NBR 27001 corresponde à atualização da norma 
internacional ISO/IEC 17799.
58 Segundo a ABNT NBR ISO/IEC 27001, um 
sistema de gestão da segurança da informação apresenta o 
seguinte ciclo: estabelecimento, implementação e 
operação, monitoramento e revisão, manutenção e 
melhoria do sistema.
Petrobras 2007 – Infra
137 A confidencialidade diz respeito à garantia de que 
a informação será acessada por qualquer um que dispuser 
de recursos tecnológicos apropriados, explicitamente ou 
não.
138 A integridade diz respeito à garantia de que a 
informação só será alterada ou deletada por quem tem 
autorização explícita para tal.
139 A disponibilidade diz respeito à garantia de que 
será possível a qualquer pessoa acessar a informação 
sempre que for necessário.
Prof. ThiagoFagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
Banco da Amazônia 2009
51 Um incidente de segurança da informação refere-
se a um ou mais riscos não desejados ou esperados que 
possuem significativa probabilidade de comprometer os 
ativos de informação e ameaçam a segurança da 
informação.
Serpro 2008 - Redes
86 A declaração de aplicabilidade é um documento 
que deve detalhar os objetivos de controle e os controles a 
serem implementados para a segurança da informação. Os 
demais controles e objetivos de controle, não inclusos na 
declaração de aplicabilidade, devem fazer parte do 
documento de análise de GAP.
87 A definição de critérios para aceitação de riscos é 
uma das responsabilidades da alta administração, segundo 
a norma NBR ISO/IEC 27001.
88 O estabelecimento da política do sistema de 
gestão de segurança da informação (SGSI) é de 
responsabilidade da equipe de segurança da informação.
89 Para assegurar que os controles, objetivos de 
controle e processos sejam executados e implementados 
de forma eficaz, a norma NBR ISO/ IEC 27001 
recomenda a realização de auditorias externas em 
intervalos regulares de, no máximo, seis meses.
90 A identificação de não-conformidades potenciais e 
suas causas é caracterizada como uma ação preventiva, 
segundo a norma NBR ISO/IEC 27001.
91 Entre as atividades contempladas na fase agir (act) 
está a necessidade de identificar não-conformidades 
potenciais e suas causas, objetivando alcançar a melhoria 
contínua do sistema de gestão de segurança da 
informação.
92 A norma NBR ISO/IEC 27001 recomenda a 
adoção de abordagem qualitativa para a realização da 
análise de risco.
MPS 2010
101 Risco residual é aquele remanescente quando as 
medidas implementadas para modificar esse risco não 
conseguem eliminá-lo. 
102 A declaração de aplicabilidade define os ambientes 
ou as unidades da organização alvo dos controles 
estabelecidos pelo sistema de gestão de segurança da 
informação (SGSI).
103 Integridade é a propriedade que garante que uma 
informação não será furtada da organização.
Serpro 2008 – Desenvolvimento
56 Vulnerabilidades representam portas de entrada, 
fragilidade em ativos de informação que podem permitir a 
concretização de ameaças, colocando em risco esses 
ativos.
60 A norma ISO/IEC 17799 está voltada à criação de 
um Sistema de Gestão da Segurança da Informação mas 
seu conteúdo não é mais válido, pois foi substituída 
recentemente pela nova norma 27002.
61 Uma política de segurança da informação, 
preconizada pelas normas, é composta por critérios 
sugeridos para a gestão da segurança, configuração de 
ativos, etc., o que vai atribuir aos gestores a liberdade de 
escolher a forma mais inteligente, setorizada, de se adotar 
segurança.
TCU 2007
140 Tendo em vista o ambiente de TI implantado em 
uma entidade, faz-se necessário que essa entidade 
disponha de critérios de aceitação para novos sistemas.
141 Os recursos e os ambientes de desenvolvimento, 
teste e produção devem interagir permanentemente para a 
obtenção da compatibilidade e da harmonia pretendida.
144 Todo evento de segurança da informação 
identificado no âmbito da organização corresponderá a 
uma ou mais violações da política de segurança da 
informação da organização.
149 Conforme os controles da NBR 17799, os 
processos de gestão de segurança de recursos humanos de 
uma organização envolvem o retorno dos ativos à 
organização após o encerramento do contrato de trabalho, 
bem como conscientização, educação e treinamento em 
segurança da informação, inclusive para terceiros.
TCE/RN – 2009
82 O processo formal da avaliação de riscos motiva os 
requisitos específicos dos controles a serem 
implementados, servindo como guia para normas 
corporativas de segurança e práticas eficazes de 
gerenciamento de segurança.
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
(ABIN 2010 – Cargo 17) Julgue os próximos itens, 
relativos à salvaguarda de dados, informações, 
documentos e materiais sigilosos de interesse da 
segurança da sociedade e do Estado no âmbito da 
administração pública federal.
34 A preparação, impressão ou, se for o caso, 
reprodução de documento sigiloso efetuada em 
tipografias, impressoras, oficinas gráficas ou similares 
devem ser acompanhadas por pessoa oficialmente 
designada para tanto, sendo ela responsável pela garantia 
do sigilo durante a confecção do documento e pela 
eliminação de notas manuscritas, tipos, clichês, carbonos, 
provas ou qualquer outro recurso que possa dar origem a 
cópia não autorizada do todo ou parte. 
35 Os equipamentos e sistemas utilizados para a 
produção de documentos com grau de sigilo secreto, 
confidencial e reservado só podem integrar redes de 
computadores que possuam sistemas de criptografia e 
segurança adequados à proteção dos documentos e que 
sejam física e logicamente isoladas de qualquer outra. 
36 Os titulares de órgãos ou entidades públicos 
encarregados da preparação de planos, pesquisas e 
trabalhos de aperfeiçoamento ou de novo projeto, prova, 
produção, aquisição, armazenagem ou emprego de 
material sigiloso são os responsáveis pela expedição das 
instruções adicionais que se tornarem necessárias à 
salvaguarda dos assuntos a eles relacionados. 
37 Os órgãos e entidades públicos e as instituições de 
caráter público, para dar conhecimento de minuta de 
contrato cujo objeto seja sigiloso ou cuja execução 
implique a divulgação de desenhos, plantas, materiais, 
dados ou informações de natureza sigilosa devem exigir 
dos interessados na contratação a assinatura de termo de 
compromisso de manutenção do sigilo.
Acerca da Política de Segurança da Informação (PSI) 
nos órgãos e entidades da administração pública 
federal, instituída pelo Decreto n.º 3.505/2000, julgue 
os seguintes itens.
38 Os membros do Comitê Gestor da Segurança da 
Informação só podem participar de processos, no âmbito 
da segurança da informação, de iniciativa do setor 
privado, caso essa participação seja julgada 
imprescindível para atender aos interesses da defesa 
nacional, a critério do Comitê Gestor e após aprovação do 
Gabinete de Segurança Institucional da Presidência da 
República.
39 Entre os objetivos da PSI, insere-se o estímulo à 
participação competitiva do setor produtivo no mercado 
de bens e de serviços relacionados com a segurança da 
informação, incluindo-se a fabricação de produtos que 
incorporem recursos criptográficos.
40 Cabe à Secretaria de Defesa Nacional, assessorada 
pelo Comitê Gestor da Segurança da Informação e pelo 
Departamento de Pesquisa e Desenvolvimento 
Tecnológico da ABIN, estabelecer normas, padrões, 
níveis, tipos e demais aspectos relacionados ao emprego 
dos produtos que incorporem recursos criptográficos, de 
modo a assegurar-lhes confidencialidade, autenticidade e 
integridade, assim como a garantir a interoperabilidade 
entre os sistemas de segurança da informação.
Gabaritos: 
ABIN 2010 – Cargo 17
120C 121E 122E 123E
ABIN 2010 – Cargo 9
109X 110E
ANEEL – Área 3
110E 11E 112C 113E 114C 115E 116C 117C 118E
TCU 2010 – AFCE-TI
176C 177C 178E 179C 180E 181E
MPU 2010 – Cargo 24
142C 143C 144C 145E 146E 147C 148E 149C 150E
MPU 2010 – Cargo 26
141C 142C 143C 144E 145E 146C 147E 148E 149E 
150C
MPU 2010 – Cargo 27
149X 150X 
TRT21 – Cargo 11
101E 102E 103C 104E 105C 106C
ANAC 200996C 97C 98E 99C 100E 111E 112E 113C 114E 115E
ANATEL 2009 – Cargo 8
83E 84E 85C 86C 87E 88C
ANTAQ 2009 – Cargo 9
73E 74E 75E 76C 77C 78X
TCU 2009 – AFCE-TI
167E 168E 169C 170C
Prof. Thiago Fagury - www.fagury.com.br
Lista de Exercícios - CESPE
Gestão de Segurança da Informação
INMETRO 2009 – Cargo 5
52E 53C 54C 55E 58C
IPEA 2008 – Cargo 3
64C 65E 66E 67E 68E
TCU 2008 – AFCE-TI
181E 182C 183E 184C
MCT 2008
117C 119C 120E 119A-C 120B-E
SERPRO 2010
57E 58X
PETROBRAS 2007
137E 138C 139E
BANCO DA AMAZONIA 2009
51E
SERPRO 2008 – REDES
86E 87C 88E 89E 90C 91E 92E
MPS 2010
101C 102E 103E
SERPRO 2008 – DESENV.
56C 60E 61E
TCU 2007
140C 141E 144E 149C
TCE-RN 2009
82C
ABIN 2010 – CARGO 17
34 35 36 37 38 39 40
Prof. Thiago Fagury - www.fagury.com.br