APOSTILA DE SI - Professora Ana

Prévia do material em texto

SEGURANÇA DA INFORMAÇÃO - APOSTILA RESUMO 
1. Qual a origem da norma NBR ISO/IEC 17799? descreva o histórico da 
norma? 
- 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 – Tecnologia da Informação 
– Código de prática para gestão da Segurança da Informação) 
- 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 – Sistema de gestão da 
Segurança da Informação – Especificações e guia para uso) 
- 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 – Tecnologia da Informação – 
Código de prática para gestão da Segurança da Informação) 
- 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 – 
Tecnologia da Informação – Código de prática para gestão da Segurança da Informação também 
referenciada como BS ISO/IEC 17799:2000) 
- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 
17799:2001 – Tecnologia da Informação – Código de prática para gestão da Segurança da 
Informação) 
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 – Sistema de gestão da 
Segurança da Informação – Especificações e guia para uso). 
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR 
ISO/IEC 17799:2005 – Tecnologia da Informação – Código de prática para gestão da Segurança 
da Informação); 
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 – Tecnologia da Informação. 
2. Quais são as dez áreas de controle do ISO/IEC 17799? 
- Política de Segurança 
- Corporação da Segurança 
- Classificação e Controle do Patrimônio 
- Segurança dos Funcionários 
- Segurança Física e Ambiental 
- Gerenciamento de Operações e Comunicações 
- Controle de Acesso 
- Manutenção e Desenvolvimento de Sistemas 
- Gerenciamento da Continuidade dos Negócios 
- Compatibilidade 
 
3. Explique cada uma das dez áreas de controle do ISO/IEC 17799? 
- 1) Política de Segurança – É necessário uma política para determinar as expectativas para 
segurança, o que fornece direção e suporte ao gerenciamento. A política deve também ser 
usada como uma base para revisões e avaliações regulares. 
- 2) Corporação da Segurança -- Sugere que uma estrutura de gerenciamento seja determinada 
dentro da empresa, explicando quais os grupos são responsáveis por certas áreas de segurança 
e um processo para o gerenciamento de respostas a incidentes. 
- 3) Classificação e Controle do Patrimônio-- Exige um inventário do patrimônio de informações 
da empresa e, com esse conhecimento, garante que o nível de proteção apropriado seja 
aplicado. 
- 4) Segurança dos Funcionários – Indica a necessidade de educar e informar os funcionários 
atuais ou potenciais sobre a expectativa da empresa para com eles, com relação a assuntos 
confidenciais e de segurança, e como sua função na segurança se enquadra na operação geral 
da empresa. Tenha um plano de relatórios de incidentes. 
- 5) Segurança Física e Ambiental - Aborda a necessidade de proteger áreas, equipamentos de 
segurança e controles gerais. 
- 6) Gerenciamento de Operações e Comunicações – Os objetivos dessa seção incluem: 
o Garantir instalações para a operação correta e segura do processamento de 
informações; 
o Minimizar o risco de falhas dos sistemas; 
o Proteger a integridade do software e/ou das informações; 
o Manter a integridade e disponibilidade do processamento de informações e 
comunicações; 
o Garantir a proteção das informações em redes e da infra-estrutura de suporte; 
o Evitar danos ao patrimônio e interrupções nas atividades da empresa; 
o Prevenir perdas, modificações ou uso inadequado das informações trocadas entre 
empresas. 
- 7) Controle de Acesso - Identifica a importância da monitoração e controle do acesso a 
recursos da rede e de aplicativos, para proteger contra abusos internos e intrusões externas. 
- 8) Manutenção e Desenvolvimento de Sistemas - Reforça que com todos os esforços de TI, 
tudo deve ser implementado e mantido com a segurança em mente, usando os controles de 
segurança em todas as etapas do processo. 
- 9) Gerenciamento da Continuidade dos Negócios - Recomenda que as empresas se 
preparem com maneiras de neutralizar as interrupções às atividades comerciais, e protejam os 
processos comerciais cruciais, no evento de uma falha ou desastre. 
- 10) Compatibilidade - Instrui as empresas a observar como a sua compatibilidade com o 
ISO/IEC 17799 se integra ou não com outros requisitos legais como o European Union s 
 
Directive on Privacy (Diretivas da União Européia sobre Privacidade), Health Insurance 
Portability and Accountability Act (Decreto de Responsabilidade e Portabilidade de Seguro de 
Saúde, HIPAA) e o Gramm-Leach- Bliley Act (GLBA). 
4. O que é segurança da informação? 
- A segurança da informação protege a informação de diversos tipos de ameaças para garantir a 
continuidade dos negócios, minimizar os danos aos negócios e maximizar o retorno dos 
investimentos e as oportunidades de negócio. 
5. Como pode existir a informação? 
- A informação pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, 
armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada 
em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual 
a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida 
adequadamente. 
6. A segurança da informação é caracterizada pela preservação da? 
- Confidencialidade: garantia de que a informação é acessível somente por pessoas autorizadas 
a terem acesso; 
- Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de 
processamento; 
- Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos 
ativos correspondentes sempre que necessário. 
7. Como pode ser obtida a segurança da informação? 
- Segurança da informação é obtida a partir da implementação de uma série de controles, que 
podem ser políticas, práticas, procedimentos, estruturas organizacionais e funções de software. 
Estes controles precisam ser estabelecidos para garantir que os objetivos de segurança 
específicos da organização sejam atendidos. 
8. Por que a segurança da informação é necessária? 
- A informação e os processos de apoio, sistemas e redes são importantes ativos para os 
negócios. Confidencialidade, integridade e disponibilidade da informação podem ser essenciais 
para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos 
legais e a imagem da organização no mercado. 
 
- Cada vez mais as organizações, seus sistemas de informação e redes de computadores são 
colocados à prova por diversos tipos de ameaças à segurança da informação de uma variedade 
de fontes, incluindo fraudes eletrônicas, espionagem, sabotagem, vandalismo, fogo ou 
inundação. Problemas causados por vírus, hackers e ataques de denial of service estão se 
tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. 
9. Como estabelecer requisitos de segurança? Quais são as três principais 
fontes? 
- A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da 
avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua 
probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado. 
- A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas 
contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que 
atender. 
- A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o 
processamento da informação que uma organizaçãotem que desenvolver para apoiar suas 
operações. 
10. O que é Política de Segurança da informação? e o que normalmente uma 
política deve conter? 
- Política de segurança da informação é uma declaração ampla dos objetivos e intenções da 
organização com relação à conexão e ao uso. Normalmente, ela deve especificar o seguinte: 
o Os serviços que podem ser usados; 
o Quem autoriza as conexões; 
o Quem é responsável pela segurança; 
o As normas, diretrizes e práticas a serem obedecidas; 
o As responsabilidades dos usuários 
o Definir quem é responsável pela segurança na organização. 
o Com o objetivo de assegurar que as informações e os ativos da organização estejam 
devidamente protegidos. 
11. Qual é o objetivo da política de segurança da informação? 
- Documentar o comprometimento e direção do gerenciamento de alto nível para segurança da 
informação e comunicar à todos os indivíduos relevantes. 
12. São exigências de uma política de segurança da informação? 
- Que a informação seja classificada de maneira que indique sua importância à organização 
 
- Que os proprietários (tipicamente pessoas responsáveis pelos processos de negócio, que são 
dependentes da informação e dos sistemas) são indicados para as informações e sistemas 
críticos. 
- Que a informação importante e os sistemas sejam sujeitos a uma análise de risco da informação 
em uma base regular 
- Que a equipe de funcionários esteja ciente da segurança da informação 
- Que a conformidade com licenças do software e com outras obrigações legais, reguladoras e 
contratuais 
- Que as rupturas da política da segurança da informação e as fraquezas suspeitadas da 
segurança da informação são relatadas 
- Que a informação é protegida nos termos de suas exigências confidenciais, a integridade e a 
disponibilidade. 
13. A política da segurança da informação deve ser: 
- Alinhada com outras políticas de alto nível (por exemplo aquelas em relação aos recursos 
humanos, a saúde e a segurança, a finança e a tecnologia da informação) 
- Comunicada a toda equipe de funcionários e indivíduos com o acesso externo à informação ou 
aos sistemas da organização 
- Revista regularmente de acordo com um processo definido da revisão 
- Revisada para tomar ciência das mudanças (por exemplo ameaças novas, vulnerabilidades e 
riscos, reorganização da organização, mudanças às exigências contratuais, legais e reguladoras, 
ou mudanças na infraestrutura de TI). 
14. Uma política de segurança da informação deve proibir? 
- O uso desautorizado da informação e de sistemas da organização 
- Usar a informação e os sistemas para as finalidades que não relacionadas ao trabalho 
- O uso de e-mail, a mensagem instantânea, a Internet, ou o telefone para conteúdo pornográfico, 
racista ou outras indicações que podem ser ofensivos, indicações obscenas, discriminatórias. 
- Transferência de material ilegal (por exemplo com índice obsceno ou discriminatório) 
- Veiculação de informação ou retirada de equipamento do local sem autorização 
- Facilitar o uso da informação ou equipamento sem autorização (por exemplo software 
desautorizado de terceiro, pen-drive ou modem do USB) 
- Copia desautorizada da informação ou do software 
- Senhas comprometidas (por exemplo escrevendo ou divulgando para outros) 
- Uso da informação pessoal identificável (isto é, informação que pode ser usada para identificar 
uma pessoa individual) a menos que autorizado explicitamente 
 
- Discussão de informação do negócio em lugares públicos (por exemplo vagões do trem, salas de 
estar do aeroporto) 
- Alteração de evidência no caso dos incidentes da segurança da informação que podem exigir a 
investigação judicial. 
15. Definir? 
- Ativo: qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004] 
- Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou 
estruturas organizacionais que podem ser de natureza administrativa, técnica, de gestão ou legal 
(sinônimo para proteção ou contramedida) 
- Diretriz: descrição que orienta o que deve ser feito e como, para consecução dos objetivos 
estabelecidos nas políticas [ISO/IEC 13335-1:2004] 
- Evento de segurança da informação: ocorrência identificada em um sistema, serviço ou rede, 
que indica uma possível violação da política de segurança da informação ou falha de controles, 
ou uma situação previamente desconhecida, que possa ser relevante para a segurança da 
informação [ISO/IEC TR 18044:2004]. 
- Incidente de segurança da informação: indicado por um simples ou uma série de eventos de 
segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de 
comprometer as operações do negócio e ameaçar a segurança da informação [ISO/IEC TR 
18044:2004]. 
- Ameaça: causa potencial de um acidente indesejado, que pode resultar em dano para um 
sistema ou organização [ISO/IEC 13335-1:2004] 
- Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou 
mais ameaças. 
16. Como se manifesta Comprometimento da direção da organização na 
segurança da informação 
- Deve formular analisar criticamente e aprovar a política de segurança da informação; 
- Fornecer os recursos necessários; 
o Iniciar planos e programas para manter a conscientização sobre a segurança da 
informação; 
o Fornecer claro direcionamento e apoio para as iniciativas; 
o Assegurar que as metas de segurança da informação estão identificadas, atendem aos 
requisitos da organização e estão integradas nos processos relevantes; 
o Aprovar as atribuições de tarefas e responsabilidades específicas para a segurança da 
informação por toda a organização; 
 
17. Quais as responsabilidades da Coordenação da Segurança da Informação? 
- As atividades de segurança da informação devem ser coordenadas por representantes de 
diferentes partes da organização, com funções e papéis relevantes; 
- Avaliar os incidentes e recomendar ações apropriadas; 
- Aprovar as metodologias e processos, tais como análise/avaliação de riscos e classificação da 
informação; 
18. Qual a função dos Acordos de confidencialidade e de não divulgação? 
- Protegem as informações da organização e informam aos signatários das suas 
responsabilidades, para proteger, usar e divulgar a informação de maneira responsável e 
autorizada. 
19. Quais os Elementos a serem considerados nos Acordos de confidencialidade e 
de não divulgação? 
- Definição da informação a ser protegida, 
- Tempo de duração do acordo, 
- Responsabilidades e ações dos signatários para evitar a divulgação não autorizada, 
- Direito de auditar e monitorar as atividades que envolvem as informações confidenciais, 
- Termos para a informação ser retornada ou destruída quando da suspensão do acordo. 
20. O que é padrão? 
- PADRÃO: prática recomendada e de ampla aceitação no mercado, tornada obrigatória. 
21. Qual a função da Corporação da segurança descrita na norma? 
- Sugere que uma estrutura de gerenciamento seja determinada dentro da empresa, explicando 
quais os grupos são responsáveis por certas áreas de segurança e um processo para o 
gerenciamento de respostas a incidentes. 
22. Na norma a Classificação e Controle do Patrimônio dentro da segurança da 
informação exige? 
- Exige um inventário do patrimônio de informações da empresa e, com esse conhecimento, 
garante que o nível de proteção apropriado seja aplicado. 
23. Qual a função da Segurança dos Funcionários na norma? 
- Indica a necessidade de educar e informar os funcionários atuais ou potenciais sobre a 
expectativa da empresa para com eles, com relação a assuntos confidenciais e de segurança, e 
 
como sua função nasegurança se enquadra na operação geral da empresa. Tenha um plano de 
relatórios de incidentes. 
24. Qual a definição de análise de riscos? 
- Análise de Riscos: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, 
práticas ou estruturas organizacionais que podem ser de natureza administrativa, técnica, de 
gestão ou legal (sinônimo para proteção ou contramedida) 
25. Quais são as considerações relevantes ao documento da política de 
segurança da informação? 
- A política de segurança da informação deve prover uma orientação e apoio da direção para a 
segurança da informação de acordo com os requisitos do negócio e com as leis e 
regulamentações relevantes. 
- A política de segurança da informação deve ser: Clara, Alinhada com os objetivos do negócio. 
- O documento da política de segurança deve demonstrar apoio e comprometimento com a 
segurança da informação, Publicada e mantida para toda a organização. 
- O documento da política de segurança da informação de uma empresa declara o 
comprometimento da direção e estabelece o enfoque da organização para gerenciar a 
segurança da informação. 
26. Quais itens fazem parte de uma política de segurança da informação? 
- Uma definição de segurança da informação, suas metas globais, escopo e importância da 
segurança da informação como um mecanismo que habilita o compartilhamento da informação; 
- Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança 
da informação, alinhada com os objetivos e estratégias do negócio; 
- Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de 
análise/avaliação e gerenciamento de risco; 
- Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança 
da informação específicos para a organização, 
27. Quais são os requisitos que devem ser considerados na definição dos papéis 
e responsabilidades pela segurança da informação? 
- Implementar e agir de acordo com as políticas de segurança da informação da organização. 
- Proteger ativos contra acesso não autorizado, divulgação, modificação, destruição ou 
interferência. 
- Executar processos ou atividades particulares de segurança da informação; 
- Assegurar que a responsabilidade é atribuída à pessoa para tomada de ações; 
 
28. Descreva os requisitos a serem considerados quando “Trabalhando em áreas 
seguras”? 
- Pessoal só deve ter conhecimento da existência de áreas seguras ou das atividades nelas 
realizadas, apenas se for necessário; 
- Deve ser evitado o trabalho não supervisionado em áreas seguras, tanto por motivos de 
segurança como para prevenir as atividades mal intencionadas; 
- As áreas seguras não ocupadas devem ser fisicamente trancadas e periodicamente verificadas; 
29. Descreva os tópicos a serem considerados na Segurança em recursos 
humanos antes da contratação? 
- Todos os funcionários, fornecedores e terceiros, usuários dos recursos de processamento da 
informação, devem assinar acordos sobre seus papéis e responsabilidades pela segurança da 
informação. 
- Os candidatos ao emprego, fornecedores e terceiros devem ser analisados, especialmente em 
cargos com acesso a informações sensíveis. 
- As responsabilidades pela segurança da informação devem ser atribuídas antes da contratação, 
de forma adequada, nas descrições de cargos e nos termos e condições de contratação. 
- Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suas 
responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou 
mau uso de recursos. 
30. A segurança da informação deve fornecer suporte para? 
- Atividades de análise de risco da informação 
- Projetos importantes relativos à segurança 
- Grandes projetos da Tecnologia da Informação com exigências de segurança 
- Auditorias / revisões de segurança 
- Classificação da informação e dos sistemas de acordo com sua importância à organização o uso 
da criptografia 
- Exigências de incorporação da segurança da informação em acordos documentados (por 
exemplo contratos ou SLA) 
- Desenvolvimento de planos de continuidade do negócio / serviço. 
31. A coordenação local da segurança da informação devem ter? 
- Compreensão de seus papéis e responsabilidades 
- Habilidades técnicas, tempo, ferramentas necessárias (por exemplo listas de verificação e 
produtos de software do especialista) e autoridade para realizar seus papéis atribuídos 
- Acesso à perícia interna ou externa na segurança da informação 
 
- Padrões / procedimentos documentados para suportar atividades do dia a dia da segurança da 
informação 
- Informação atualizada nos problemas e nas técnicas. 
32. Qual é o objetivo da conscientização da segurança da informação dentro da 
empresa? 
- Assegurar que todos os indivíduos aplicam os controles de segurança devidos e também serve 
para impedir que a informação importante da organização seja comprometida ou divulgada aos 
indivíduos desautorizados. 
33. A consciência da segurança deve ser promovida: 
- À alta gerência, aos representantes do negócio, a equipe de TI e aos indivíduos externos e a 
todos que tem acesso a recursos de TI e às informações relevantes dentro da empresa 
- Ser fornecido com a instrução / treinamento da segurança da informação 
- Fornecendo o material especializado de conscientização da segurança, tal como folhetos, 
cartões de referência, pôsteres e originais eletrônicos na intranet. 
34. Qual o objetivo da Classificação da Informação? 
- Determinar o nível de proteção que deve ser aplicado a todos os ativos de informação dentro da 
empresa de forma a garantir sua proteção, confidencialidade e disponibilidade, evitando assim a 
falta de integridade, disponibilidade e a divulgação não autorizada 
35. Qual o objetivo da metodologia de análise de gestão de riscos? 
- Garantir que a análise de risco da informação seja realizada de forma consistente, rigorosa e de 
maneira confiável em toda a organização. 
36. As metodologias de análise de risco da informação devem ser? 
- Documentadas 
- Aprovadas pela gestão de topo 
- Consistentes em toda a organização 
- Automatizadas (por exemplo, usando ferramentas de software especializadas) 
- Revisadas regularmente para garantir que elas atendam as necessidades do negócio 
- Aplicáveis aos sistemas de vários tamanhos e tipos 
- Compreensíveis para os representantes das empresas interessadas. 
 
37. Metodologias de análise de risco da informação devem ser usadas para 
ajudar? 
- Selecionar controles de segurança que irão reduzir a probabilidade de graves incidentes de 
segurança da informação que ocorrerem 
- Selecionar os controles de segurança que satisfaçam os requisitos de conformidade relevantes 
- Avaliar os pontos fortes e fracos dos controles de segurança 
- Determinar os custos de implementação dos controles de segurança 
- Identificar os controles de segurança especializados em ambientes 
38. O que é Segregação de funções e qual seu objetivo? 
- A segregação de funções é um método para redução do risco de mau uso acidental ou 
deliberado dos sistemas. Convém que a separação da administração ou execução de certas 
funções, ou áreas de responsabilidade, a fim de reduzir oportunidades para modificação não 
autorizada ou mau uso das informações ou dos serviços, seja considerada. 
39. Um projeto da rede seguro deve? 
- Incorporar um conjunto coerente e integrado de normas técnicas 
- Apoiar convenções de nomenclatura consistentes (Ex: Atribuição de endereços IP) 
- Incorporar o uso de domínios de segurança (incluindo DMZs) para segregar sistemas com 
requisitos de segurança específicos 
- Empregam firewalls de forma que os impede de seremcontornados 
- Minimizar pontos únicos de falha (por exemplo, fornecendo balanceamento de carga, duplicação 
de dispositivos de rede críticos) 
- Restringir o número de pontos de entrada para a rede 
- Permitir o gerenciamento de rede-a-ponta final de um local principal 
- Que a rede possa ser configurado remotamente, e automaticamente monitorados contra limites 
predefinidos permitir 
- Relatórios de gerenciamento de rede e trilhas de auditoria a serem mantidos 
- Cumprir com os regulamentos legais e da indústria 
- Impedir que dispositivos não autorizados se conectem à rede (por exemplo, obrigando a 
autenticação no nível de rede) 
- Incluem criptografia de acesso administrativo aos dispositivos de rede (por exemplo, firewalls e 
sensores de detecção de intrusão). 
40. Pontos únicos de falha na rede de computadores dentro da empresa devem 
ser minimizado por? 
- Roteamento de tráfego de rede automaticamente quando nós críticos ou links falhar 
 
- Proporcionando locais alternativos de onde a rede possa ser administrada 
- Instalar duplicatas ou firewalls alternativos, filtros de tráfego de rede, principais nós de 
comutação, e fontes de alimentação para equipamentos de comunicação crítico 
- Organizando pontos alternativos de conexão e ligações com prestadores de serviços externos. 
41. Qual a política que inclui todos os aspectos de segurança de uma 
organização? 
A. Política de segurança. A política de gestão de Segurança. 
B. Política de classificação de Informações. 
C. Política de segurança física. 
D. Informações. 
Resposta da questão 41- Letra A. Todos os aspectos da segurança na organização estão incluídas na gestão de 
segurança políticas. 
42. Você está ajudando com uma revisão da política para ter certeza de sua 
empresa tem em todo o lugar políticas que deveria. Um de seus colegas 
administradores menciona que ele nunca viu nada detalhando sensibilidade e uso 
da informação. Que política cobriria este tema? 
A. A política de Segurança 
B. Política de classificação de Informações 
C. Use política 
D. A política de gestão de configuração. 
Resposta 42 - Letra B. A política de classificação da informação discute a sensibilidade da informação e acesso 
aos informações. 
43. Qual a política que identifica os componentes de software e hardware que 
podem ser usados em uma organização? 
A. Política de backup. 
B. A política de gestão de configuração 
C. Política Inventário. 
D. Uso da Política 
Resposta 43 - Letra B. A política de gerenciamento de configuração está preocupado com a forma como os 
sistemas são configurados e qual o software pode ser instalado em sistemas. 
44. Qual dos seguintes envolve manter registros sobre como sua rede ou 
organização mudanças ao longo do tempo? 
A. Mudança documentação 
B. Use política 
C. Sistemas de arquitetura. 
D. BIA 
 
Resposta questão 44 - Letra A. Mudança documentação envolve manter registros sobre como sua rede ou 
organização muda ao longo do tempo. 
45. O processo de assegurar que todas as políticas, procedimentos e normas 
sejam cumpridas é uma função cujo processo é feito pela? 
A. Educação 
B. Execução 
C. Responsabilidade 
D. Gestão da mudança 
Resposta questão 45 - Letra B. execução de políticas, procedimentos e padrões é essencial para a 
sustentabilidade efetiva dos esforços de segurança. O ditado "Inspecione o que você espera" é relevante nesta 
situação. 
46. Serviços Técnicos Mercury está formulando um conjunto de diretrizes que 
descrevem os componentes de gestão de segurança eficaz. Após estes têm sido 
experimentadas e testadas no Anderson ramo, será lançado para todas as outras 
divisões. O que é este conjunto de diretrizes chamado? 
A. Práticas 
B. Forensics 
C. Cadeia de provas 
D. Use política 
Resposta questão 46 - Letra A. As melhores práticas termo refere-se aos elementos essenciais de uma segurança 
eficaz pelo homem esforço nistração. 
47. Política que identifica os arquivos e dados que devem ser arquivados? 
A. Política de classificação Informações 
B. Use política 
C. Política estoques Logs e 
D. Política de retenção de Informações 
Resposta questão 47 - Letra D. Políticas de retenção de Informações ditar quais as informações que devem ser 
arquivados e como longos esses arquivos devem ser mantidos. 
48. A política que define atualizar os requisitos de sistemas? 
A. A política de gestão de configuração. 
B. Uso da política 
C. Política de estoques e Logs 
D. Política de backup 
Resposta questão 48 - Letra A. A política de gestão de configuração dita as configurações e atualizações de 
sistemas em uma organização. 
 
49. Revisão da política está em curso. O novo chefe do RH quer mostrar que 
existe uma política formal para todos os aspectos de TI. Você foi atribuída a função 
de produzir as informações que ele pede. Qual a política dita os processos usados 
para criar cópias de arquivo de registros? 
A. Política de backup 
B. Política de Segurança 
C. Uso da política 
D. Política de gerenciamento de usuário 
Resposta questão 49 - Letra A. A política de backup identifica os métodos utilizados para arquivar eletrônico e 
arquivo de papel sistemas. Esta política trabalha em conjunto com as políticas de retenção e armazenamento de 
informações. 
50. Qual tema não seriam normalmente coberto de um programa de segurança 
de consciência orientada para o utilizador? 
A. A política de gestão de Segurança 
B. Use política 
C. Tecnologia de rede e administração 
D. Conta e critérios de senha 
Resposta questão 50 – Letra C. tecnologia Rede e administração não seria coberto por um usuário segurança 
programa de sensibilização. Questões de política, responsabilidades e importância da segurança seria aspectos-
chave deste programa. 
51. Uma das suas responsabilidades de trabalho é oferecer treinamento mensal 
sessões sobre temas de segurança durante o almoço. Você quer priorizar as 
apresentações e dar primeiro aqueles que são os mais importantes. Que grupo 
mais se beneficiariam de um briefing geral sobre as ameaças de segurança e 
problemas? 
A. Gestão 
B. Usuários 
C. Desenvolvedores 
D. Os administradores de rede 
Resposta da questão 51 – Letra A. obteria o máximo benefício a partir de uma explicação de alto nível de 
segurança ameaças e problemas. Os usuários precisam saber como seguir as políticas e por que eles estão. 
Desenvolvedores e administradores de rede necessita de informações e focado em como desenvolver para redes 
e aplicações mais seguras. 
52. Graças à atribuição de uma subvenção, agora você vai ser capaz de 
substituir toda a sessão de exercício desatualizado de estações com modelos mais 
novos. Muitos desses postos de trabalho serão provenientes do negócio escritório. 
Qual dos seguintes deve ocorrer quando um sistema de computador se torna 
excedente? 
A. Todos os arquivos devem ser apagados. 
B. Unidades de disco que deve ser inicializado. 
 
C. Unidades de disco que deve ser formatado. 
D. Telas de computador devem ser neutralizados. 
Resposta questão 52 – Letra B. A única maneira de garantir que os dados e aplicativos em uma unidade de 
disco são ilegíveis é executar uma inicialização de baixo nível dos meios de armazenamento, criando assim cada 
localizações de armazenamento em um estado recém-inicializado. Este processo também é conhecido como 
limpeza de disco. 
53. Senhas baseados em BIOS normalmente são perdidos quando o que ocorre 
em uma estação de trabalho? 
A. A energia elétrica é removida. 
B. A tampa é removida. 
C. A bateria do computador é removido e substituído. 
D. O disco rígido é alterada. 
Resposta questão 53 - Letra C. A remoção e substituição da bateria do computador, muitas vezes,causar a 
perda de valores armazenados na BIOS. 
54. Que tipo de política deve definir o uso de dispositivos USB? 
A. Política de retenção de Informações 
B. A política de gestão de configuração 
C. Mudança documentação 
D. Política de uso aceitável 
Resposta questão 54 – Letra -D. A política de uso aceitável deve definir claramente o uso de dispositivos USB 
dentro de uma organização. 
55. Você está interessado em simplificar o gerenciamento de segurança em seu 
site. A maneira mais simples de gerenciar usuários está atribuindo-os a qual das 
seguintes entidades? 
A. Grupos 
B. Piscinas 
C. Unidades 
D. Categorias 
Resposta questão 55 - Letra A. Os usuários devem ser colocados em grupos e gerido pela associação nesses 
grupos. 
56. Qual das seguintes permissões de espera para usuários e grupos, tais como 
somente leitura, completa, Controlar ou mudar? 
A. Políticas de Grupo 
B. Listas de controle de acesso 
C. SIDs 
D. DNS 
Resposta questão 56 - Letra B. Listas de controle de acesso (ACLs) manter permissões para usuários e grupos. 
 
57. Se você quer governar com cuidado que pode redefinir a senha de um objeto 
de usuário, que da as seguintes permissões que você deve focar? 
A. Símbolo lógico 
B. Landlord 
C. Domínio senha 
D. Alterar 
Resposta questão 57 – Letra C A permissão senha de domínio identifica quem pode redefinir a senha de um 
objeto de usuário. 
58. Qual dos seguintes são mais similares em conteúdo de certificados? 
A. As políticas de senha 
B. Políticas de acesso ao dispositivo 
C. Data-gramas. 
D. Símbolos lógicos 
 
Resposta questão 58 – Letra D. símbolos lógicos são similares em conteúdo para certificados. Eles contém os 
direitos e acesso privilégios do portador do símbolo. 
59. Qual dos seguintes permitem implementar automaticamente as restrições 
sobre a operação sistêmica de componentes? 
A. Políticas de Grupo 
B. Listas de controle de acesso 
C. SIDs 
D. DNS 
Resposta questão 59 – letra A - Políticas do grupo permitem implementar automaticamente restrições ao 
sistema operacional e componentes. 
60. Que tipo de política deve definir o uso de telefones celulares dentro de uma 
organização? 
A. Política de retenção Informações 
B. A política de gestão de configuração 
C. Mudança documentação 
D. Política de uso aceitável 
 
Resposta questão 60 – letra D - A política de uso aceitável deve definir claramente o uso de telefones celulares 
dentro de uma organização. 
61. Qual é o plano ou política de ajuda a organização a determinar como 
mudar para um local de emergência? 
A. Plano de recuperação de desastres 
B. Política de gestão de privilégio 
 
C. Plano de Privacidade 
 
Resposta questão 61 – Letra A. O plano de recuperação de desastres trata de realocação do local em caso de 
uma emergência, desastre natural, ou interrupção de serviço. 
62. Embora você está falando com ela ao telefone, o som de gritos da 
assistente administrativa de desespero pode ser ouvido no corredor. Ela tem 
excluído acidentalmente um arquivo que o chefe precisa desesperadamente. 
Que tipo de backup é usado para a recuperação imediata de um arquivo 
perdido? 
A. armazenamento no 
B. Cópias de trabalho 
C. O backup incremental 
D. Backup diferencial 
 
Resposta questão 63 – Letra B. Cópias de trabalho são backups que normalmente são mantidos na sala de 
informática para uso imediato na recuperação de um sistema ou perdidos arquivo. 
63. Sistema que freqüentemente tem registros de arquivos de auditoria / 
transação que podem ser usados para a recuperação? 
A. Sistema de banco de dados 
B. Servidor Aplicação 
C. Servidor de Backup 
D. Usuario de Sistema 
 
Resposta questão 63 – Letra A. Sistemas de banco de dados em larga escala geralmente fornecem um 
processo de arquivo de auditoria que permite transações a serem recuperados em caso de perda de dados. 
64. Você está tentando reorganizar seus procedimentos de backup para 
reduzir a quantidade de tempo que levam a cada noite. Você quer que os 
backups para terminar o mais rápido possível durante a semana. Qual 
sistema de backup faz o backup apenas dos arquivos que foram alterados 
desde o último backup? 
A. Backup completo 
B. Backup Incremental 
C. Backup Diferencial 
D. Servidor de Backup 
 
Resposta questão 64 – Letra B. Um backup incremental faz backup dos arquivos que foram alterados desde 
o último backup completo ou parcial. 
 
65. Sistema de backup que faz o backup de todos os arquivos que foram 
alterados desde o último backup completo? 
A. backup complete 
B. backup incremental 
C. Backup diferencial 
D. backup de arquivo 
 
Resposta questão 65 – Letra - C. Um backup incremental faz backup dos arquivos que foram alterados desde 
o último backup completo ou parcial. 
66. Você é um consultor contratado para assessorar MTS em seus 
procedimentos de backup. Um dos primeiros problemas que você observa é 
que a empresa não utiliza um esquema bom tape-rotação. Qual o método 
de backup usa um esquema rotativo de mídia de backup para garantir o 
armazenamento de informações a longo prazo?? 
A. Avô, pai, método Filho 
B. Método de arquivo completo 
C. Método servidor de backup 
D. Método de backup diferencial 
 
Resposta questão 66 – Letra A. O avô, pai, método de backup Filho é projetado para fornecer um esquema 
rotativo de processos de backup. Ela permite um uso mínimo de mídias de backup, e ainda permite o 
arquivamento de longo prazo. 
67. Qual site melhor oferece recursos limitados para a restauração dos 
serviços em um desastre? 
A. Site quente 
B. Local quente 
C. Local frio 
D. Site de Backup 
 
Resposta questão 67 – Letra B. Locais quentes oferecendo alguns recursos em caso de uma recuperação. A 
organização que quer usar um site quente terá de instalar, configurar e restabelecer as operações em sistemas 
que podem já existir no local quente. 
 
 
68. Você é o chefe de tecnologia da informação para MTS e tem um irmão 
em uma posição semelhante para o ABC. Ambas as empresas são 
aproximadamente do mesmo tamanho e estão localizadas a centenas de 
quilômetros de distância. Como um benefício para ambas as empresas, que 
pretende implementar um acordo que permitiria que qualquer empresa a 
utilizar os recursos em outro local deve um desastre fazer um edifício 
inutilizável. Que tipo de acordo entre duas organizações proporciona o uso 
mútuo de seus sites em caso de uma emergência? 
A. Acordo de backup local 
B. Acordo Quente local 
C. Acordo hot-Site 
D. Acordo de reciprocidade 
 
Resposta questão 68 – Letra D. Um acordo de reciprocidade é entre duas organizações e permite usar o site 
do outro em caso de emergência. 
69. O processo de mudar automaticamente a partir de um mau 
funcionamento do sistema para outro sistema é chamado de quê? 
A. À prova de falhas Fail safe 
B. Redundância 
C. Fail-over 
D. Site Quente 
 
Resposta questão 69 – Letra C. Failover ocorre quando um sistema que está desenvolvendo um mau 
funcionamento muda automaticamente os processos para um outro sistema para continuar as operações. 
70. Você foi contratado como um temporário para FRS, Inc. O chefe de TI 
atribui-lhe a tarefa de avaliar todos os servidores e seus discos e fazer uma 
lista de todos os dados não armazenados de forma redundante. Que 
tecnologia de disco não é tolerante a falhas? 
A. RAID 0 
B. RAID 1 
C. RAID 3 
D. RAID 5 
 
Resposta questão 70 – Letra A. RAID 0 é um método de propagação de dados a partir de um único disco 
através de um número de unidades de disco. É usado principalmente para fins de desempenho. 
71. Acordo que descreve os requisitosde desempenho para um 
fornecedor? 
A. MTBF 
B. MTTR 
 
C. SLA 
D. BCP 
 
Resposta questão 71 – Letra C. Um acordo de nível de serviço (SLA) especifica os requisitos de desempenho 
para um fornecedor. Este acordo poderá utilizar MTBF e MTTR como medidas de desempenho no SLA. 
72. Sua empresa está prestes a investir pesadamente em um aplicativo 
escrito por uma nova startup. Porque é um investimento tão considerável, 
você expressar suas preocupações sobre a longevidade da nova empresa eo 
risco desta organização está tomando. Você propõe que a nova empresa 
concorda em armazenar seu código-fonte para uso pelos clientes no caso 
em que ela deixa de negócios. O que é este modelo chamado? 
A. Codigo escrow 
B. SLA 
C. BCP 
D. CA 
 
Resposta questão 72 – Letra A. Código Escrow permite aos clientes acessar o código-fonte dos sistemas 
instalados em condições específicas, tais como a falência de um fornecedor. 
73. Política que descreve como os sistemas de computador pode ser usado 
dentro de uma organização? 
A. Política de atenção devido 
B. Política de uso aceitável 
C. Necessidade de saber de 
D. Política de Privacidade 
 
Resposta questão 73 – Letra B. A política de uso aceitável determina como os computadores podem ser 
usados dentro de uma organização. Esta política deve também destacar as consequências do mau uso. 
74. Você é o administrador de STM e ter sido convocado para uma 
auditoria sem aviso prévio. O auditor afirma que ele não é capaz de 
encontrar qualquer coisa por escrito quanto ao sigilo de registros de 
clientes. Que política você deve produzir? 
A. Separação de funções políticas 
B. Política de atenção devido 
C. Política de acesso 
D. Política de destruição de documentos 
 
Resposta questão 74 – Letra B. Políticas de cuidados devido ditar as precauções que deverão ser utilizados 
para proteger registros de clientes. 
 
75. Qual a política dita como uma organização gerencia certificados e 
certificado de aceitação? 
A. política certificado 
B. Lista de acesso Certificado 
C. CA accreditation 
D. Regra CRL 
 
Resposta questão 75 – Letra A. A política de certificado dita como uma organização utiliza, gerencia e valida 
certificados. 
76. Você está dando exemplos hipotéticos durante uma sessão de 
treinamento de segurança necessária quando o assunto de certificados vem 
à tona. Um membro da platéia quer saber como um partido é verificada 
como autêntica. Que partido em uma transação é responsável por verificar a 
identidade de um titular de certificado? 
A. Assinante 
B. terceira parte confiável 
C. terceiro 
D. Omni secretário 
 
Resposta questão 76 – Letra C. A terceira parte é responsável por assegurar a terceira parte confiável que o 
assinante é genuína. 
77. Qual das seguintes normalmente não fariam parte de uma política de 
resposta a incidentes? 
A. Agências externas (que exigem estado) 
B. Especialistas externos (para resolver o incidente) 
C. Os planos de contingência 
D. Procedimentos de coleta de provas 
 
Resposta questão 77 – Letra C. Um plano de contingência normalmente não seria parte de uma política de 
resposta a incidentes. Seria parte de um plano de recuperação de desastres. 
78. MTS está em processo de aumentar toda a segurança para todos os 
recursos. Não será mais o método herdado de atribuição de direitos aos 
usuários como eles são necessários ser aceite. A partir de agora, todos os 
direitos devem ser obtidas para a rede ou sistema por meio de membros do 
grupo. Qual dos seguintes grupos é usado para gerenciar o acesso em uma 
rede? 
A. Grupo de segurança 
B. Grupo sign-on único 
 
C. Recursos grupo de compartilhamento 
D. Grupo AD 
 
Resposta questão 78 – Letra A. Um grupo de segurança é usado para gerenciar o acesso do usuário a uma 
rede ou sistema. 
79. Quais os procedimentos de inspeção de processos e verifica se eles 
estão trabalhando? 
A. Auditoria 
B. Plano de continuidade de negócios 
C. Revisão de segurança 
D. Gerenciamento de privilégios de Grupo 
 
Resposta questão 79 – Letra - A. Uma auditoria é usada para inspecionar e procedimentos de teste dentro de 
uma organização para verificar se esses procedimentos estão funcionando e up-to-date. O resultado de uma 
auditoria é um relatório de gestão. 
80. O presente método de exigir que o acesso seja estritamente definida 
em cada objeto está a revelar demasiado pesado para o seu ambiente. O 
edital desceu da alta administração que os requisitos de acesso deve ser 
reduzido ligeiramente. Qual modelo de acesso permite aos usuários alguma 
flexibilidade para fins de compartilhamento de informações? 
A. DAC 
B. MAC 
C. RBAC 
D. MLAC 
 
Resposta questão 80 – Letra A. DAC permite alguma flexibilidade na capacidade de compartilhamento de 
informações dentro da rede.