Baixe o app para aproveitar ainda mais
Prévia do material em texto
24/05/2015 BDQ Prova data:text/html;charset=utf8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 1/4 GESTÃO DE SEGURANÇA DA INFORMAÇÃO Simulado: CCT0185_SM_ V.1 Fechar Aluno(a): Matrícula: Desempenho: 2,0 de 8,0 Data: 24/05/2015 13:45:09 (Finalizada) 1a Questão (Ref.: 201407510797) O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN: Sua Resposta: . Compare com a sua resposta: Desenvolvendo e implementando: O desenvolvimento e implementação de uma resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados durante e após um incidente , para manter ou restaurar as operações. 2a Questão (Ref.: 201407510795) O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN: Sua Resposta: . Compare com a sua resposta: Para o estabelecimento do programa de GCN é necessário entender a organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que são necessárias para fornecêlos. 3a Questão (Ref.: 201407418522) Pontos: 0,0 / 1,0 Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada. Neste caso estamos nos referindo a que tipo de risco: Risco real; Risco residual; Risco percebido; Risco tratado; Risco verdadeiro; 4a Questão (Ref.: 201407982941) Pontos: 1,0 / 1,0 Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 24/05/2015 BDQ Prova data:text/html;charset=utf8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 2/4 I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: II e III. II. I e II. I e III. III e IV. Gabarito Comentado. 5a Questão (Ref.: 201407506190) Pontos: 1,0 / 1,0 A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A avaliação dos riscos e incidentes desejados Os resultados das auditorias anteriores e análises críticas Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores A realimentação por parte dos envolvidos no SGSI A avaliação das ações preventivas e corretivas Gabarito Comentado. 6a Questão (Ref.: 201407594442) Pontos: 0,0 / 1,0 Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO a organização deve inicialmente definir: A politica de gestão de continuidade de negócio. Identificar e avaliar as opções para o tratamento das vulnerabilidades. Identificar, Analisar e avaliar os riscos. A abordagem de análise/avaliação das vulnerabilidades da organização. A política do BIA. 24/05/2015 BDQ Prova data:text/html;charset=utf8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 3/4 7a Questão (Ref.: 201407604749) Pontos: 0,0 / 1,0 Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Gabarito Comentado. 8a Questão (Ref.: 201407418923) Pontos: 0,0 / 1,0 Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Lógica, Física e Programada. Administrativa, Contábil e Física. Lógica, Administrativa e Contábil. Administrativa, Física e Lógica. Administrativa, Física e Programada. 9a Questão (Ref.: 201407418907) Pontos: 0,0 / 1,0 A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. 10a Questão (Ref.: 201407625431) Pontos: 0,0 / 1,0 A norma ISO 27001:2005 adotauma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o PlanDoCheckAct (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bemsucedida, e os incidente de segurança da informação. 24/05/2015 BDQ Prova data:text/html;charset=utf8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 4/4 Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Gabarito Comentado.
Compartilhar