Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão (Ref.: 201301747128) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? Procedimentos elaborados. Conscientização dos usuários. Suporte técnico. Auditoria. Segregação de funções. 2a Questão (Ref.: 201301415658) Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI 3a Questão (Ref.: 201301436340) A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação. 4a Questão (Ref.: 201301317101) A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Correção Corretivas e Corrigidas Corrigidas e Preventivas Corretivas e Preventivas Prevenção e Preventivas 5a Questão (Ref.: 201301317098) Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. 6a Questão (Ref.: 201301317104) Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
Compartilhar