Baixe o app para aproveitar ainda mais
Prévia do material em texto
1. Qual a regulamentação brasileira que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil: Código de Defesa do Consumidor, arts. 43 e 44 Lei 12.527 Lei 12.965 Código Penal, art. 151 Constituição Federal, art. 5° 2. Regulamentação onde são discutidas questões relacionadas à indústria bancária, visando a melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional: FISMA NIST HIPAA SOX Acordo de Basiléia 3. Você é o compliance officer do banco ABC , neste caso qual a regulamentação que deve utilizar? SOX HIPPA FISMA Acordo de Basileia COBIT 4. Regulamentação que visa à proteção da privacidade da informação de pacientes: Acordo de Basiléia NIST SOX FISMA HIPAA 5. _____________________ é uma exigência imposta pelo governo que especifica características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade é obrigatória. Uma auditoria Um regulamento Uma diretriz Uma norma Um procedimento 6. Documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados: Procedimento Norma Regulamento Lei Diretriz 1. Norma que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. ISO 27009 ISO 27014 ISO 27799 ISO 27011 ISO 27033 2. Norma que tem como principal objetivo estabelece orientações para Gestão de Riscos: ISO 27033 ISO 27799 ISO 27001 ISO 27005 ISO 27002 3. Norma da família 27K que fornece as diretrizes para o processo de gestão de riscos de segurança da informação: ISO 27005 ISO 27006 ISO 27004 ISO 27003 ISO 27007 4. Norma da família 27K que fornece técnicas de segurança de rede: ISO 27031 ISO 27033 ISO 27034 ISO 27035 ISO 27032 5. Norma aplicável a empresas que já implementaram um SGSI e que necessita de diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia do sistema: ISO 27005 ISO 27004 ISO 27007 ISO 27006 ISO 27003 6. Norma que tem como principal objetivo estabelecer, implementar e operar uma Sistema de gestão de Segurança da Informação (SGSI): ISO 27001 ISO 27002 ISO 27004 ISO 27006 ISO 27005 7. Norma que tem como objetivo fornecer diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles: ISO 27006 ISO 27001 ISO 27004 ISO 27005 ISO 27002 1. Qual seção determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros? 204 304 302 103 404 2. Quando uma empresa, seja ela americana ou estrangeira, deve obrigatoriamente utilizar a lei Sarbane-Oxley? quando necessita realizar uma auditoria de seus processos de trabalho quando tem ações registradas nas bolsas de valores dos EUA quando deseja aumentar a segurança de seus dados quando necessita implementar um sistema de gestão de segurança da informação quando tem implementado e-commerce 3. Seção que define o Código de ética para os administradores, alta gerência e gerência: 204 103 404 406 304 4. Qual a seção que determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período, apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos? 103 304 302 404 204 1. Como forma de mitigar os riscos, vários bancos e operadoras de cartão de crédito (Visa, Mastercard e American Express, entre outras) formaram um conselho para criar e recomendar melhores práticas de segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartão de crédito como forma de pagamento. O resultado deste trabalho foi a criação do padrão: HIPAA CMMI PCI-DSI SOX PCI-DSS 2. Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada "Implementar medidas de controle de acesso rigorosas": Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão Desenvolver e manter sistemas e aplicativos seguros Manter uma política que aborde a segurança da informação Proteger os dados armazenados do portador de cartão Restringir o acesso físico aos dados do portador do cartão 3. Boa prática utilizada para mitigar a fraude nos dados dos cartões de crédito e patrocinada por bancos e bandeiras de cartão de crédito (Mastercard, por exemplo): HIPAA PCI-DSS PCS SOX COSO 4. Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada " Manter um Programa de Gerenciamento de Vulnerabilidades": Manter uma política que aborde a segurança da informação . Desenvolver e manter sistemas e aplicativos seguros. Proteger os dados armazenados do portador de cartão. Restringir o acesso físico aos dados do portador do cartão. Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. 5. Sobre PCI-DSS, analise as opções abaixo escolha a opção que é um requerimento da seção denominada "Construir e manter uma rede segura": Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão Desenvolver e manter sistemas e aplicativos seguros Proteger os dados armazenados do portador decartão Restringir o acesso físico aos dados do portador do cartão Manter uma política que aborde a segurança da informação 6. No padrão PCI-DSS, qual dos requerimentos abaixo, pertence a seção "Construir e manter uma rede segura? Manter uma política que aborde a segurança da informação Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. Desenvolver e manter sistemas e aplicativos seguros Proteger os dados armazenados do portador de cartão Restringir o acesso físico aos dados do portador do cartão 1. Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação: CMMI SISP HIPAA 3W5H PDCA 2. Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco 3. Norma que trata da implementação, operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI: ISO 27005 ISO 27003 ISO 27004 ISO 27002 ISO 27001 4. Qual das opções abaixo é considerada a mais crítica para o sucesso de um programa de segurança da informação? Suporte Técnico Procedimentos elaborados Conscientização dos usuários Segregação de funções Auditoria 1. Sobre a norma ISO 27002, é correto afirmar: É um código de boas práticas para a gestão de segurança da informação É um código de boas práticas de gestão de risco Tem como objetivo implementar um sistema de gestão em SI Só se aplica a grandes empresas Utiliza a confiabilidade, a integridade e a disponibilidade como os pilares da SI 2. Segundo a Norma ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, Análise de risco, Requisitos legais Análise de vulnerabilidades, requisitos legais e classificação da informação Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Classificação da informação, requisitos de negócio e análise de risco Análise de risco, análise do impacto de negócio (BIA), classificação da informação 3. A segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos, segundo a NBR ISO/IEC 27002 estes três princípios básicos podem ser caracterizado por : Autenticidade, originalidade e abrangência Integridade, prevenção e proteção Flexibilidade, agilidade e conformidade Prevenção, proteção e reação Integridade, confidencialidade e disponibilidade 4. Segundo a norma ISO 27002, qual o propósito do gerenciamento de risco? Determinar os danos causados por possíveis incidentes de segurança Propiciar a conscientização dos usuários em risco Utilizar medidas para reduzir os riscos para um nível aceitável Determinar a probabilidade de que certo risco ocorrerá Aplicar medidas para reduzir os riscos para um nível aceitável 1. Uma ação muito importante para o sucesso de implementação do Compliance nas organizações, é o apoio ___________________ e a inclusão _____________________________. da alta gestão e na cultura organizacional de toda organização e da cultura organizacional da área de TI e da política de segurança da área de negócio e da análise de risco da alta gestão e da política de segurança 2. Figura fundamental para a manutenção do Compliance nas organizações e que tem como responsabilidades: a definição das necessidades de normas e políticas internas, atender a legislação e regulamentação, além de zelar pelo cumprimento das diretrizes estabelecidas: Analista de risco Analista de conformidade Auditor Líder Analista de segurança Analista de governança 3. Ação fundamental e considerada o ponto de partida para a implementação do Compliance nas organizações: análise de risco conscientização da organização em SI classificação da informação auditoria periódica continuidade de negócio 4. Uma ferramenta importante para a implantação do Compliance nas organizações é _____________________ que deve conter regras claras, concisas e acessíveis sobre o relacionamento entre as partes da sua organização, formalizando o comportamento esperado das diversas partes envolvidas no negócio. a Política de classificação da informação o Acordo de sigilo o Sistema de gestão em SI o Procedimento de segurança o Código de conduta ética 1. Ação fundamental para o GRC e considerada o ponto de partida para a implementação do Compliance nas organizações: auditoria periódica continuidade de negócio análise de risco classificação da informação conscientização da organização em SI 2. Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve seguir: Análise de risco Governança Conformidade Compliance Gestão 3. Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa: Auditoria Governança Análise de risco Compliance Gestão 4. O GRC é a integração no âmbito organizacional de três grandes ações: gestão, risco e conformidade governança,gestão de risco e compliance Governança corporativa, risco de TI e conformidade gestão de TI, Risco de TI e conformidade de TI gerência, risco e conformidade 5. Documento exigido pela NBR ISO/IEC 27001 no qual a empresa tem que relacionar quais controles são aplicáveis e justificar os que não são aplicáveis ao seu SGSI: Análise de risco Declaração de aplicabilidadePolítica de segurança Análise de vulnerabilidade Normas de segurança
Compartilhar