Gestao da Seguranca da Informação - Simulado 2

Prévia do material em texto

24/05/2015 BDQ Prova
data:text/html;charset=utf­8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 1/4
   GESTÃO DE SEGURANÇA DA INFORMAÇÃO
Simulado: CCT0185_SM_  V.1   Fechar
Aluno(a):  Matrícula: 
Desempenho: 2,0 de 8,0 Data: 24/05/2015 13:45:09 (Finalizada)
  1a Questão (Ref.: 201407510797)
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto, explique o elemento "Desenvolvendo e Implementando" do GCN:
Sua Resposta: .
Compare com a sua resposta: Desenvolvendo e implementando: O desenvolvimento e implementação de uma
resposta de GCN resulta na criação de uma estrutura de gestão e uma estrutura de gerenciamento de
incidentes, continuidade de negócios e planos de recuperação que irão detalhar os passos a serem tomados
durante e após um incidente , para manter ou restaurar as operações.
  2a Questão (Ref.: 201407510795)
O ciclo de vida da Gestão de continuidade de negócios é composto por seis elementos obrigatórios e que podem
ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização ao
implementar a gestão da continuidade de negócios deverá adaptar as suas necessidades: o escopo, a estrutura
do programa de GCN e o esforço gasto., explique o elemento "Entendendo a organização" do GCN:
Sua Resposta: .
Compare com a sua resposta: Para o estabelecimento do programa de GCN é necessário entender a
organização para definir a priorização dos produtos e serviços da organização e a urgência das atividades que
são necessárias para fornecê­los.
  3a Questão (Ref.: 201407418522) Pontos: 0,0  / 1,0
Você trabalha na equipe de gestão de risco da sua empresa e tem percebido que mesmo após todas as
medidas de tratamento de risco terem sido adotas, sempre existe alguma porção de risco que não é eliminada.
Neste caso estamos nos referindo a que tipo de risco:
  Risco real;
  Risco residual;
Risco percebido;
Risco tratado;
Risco verdadeiro;
  4a Questão (Ref.: 201407982941) Pontos: 1,0  / 1,0
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
24/05/2015 BDQ Prova
data:text/html;charset=utf­8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 2/4
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve
ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados
necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os
riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se
necessário. 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
  II e III.
II.
I e II.
I e III.
III e IV.
 Gabarito Comentado.
  5a Questão (Ref.: 201407506190) Pontos: 1,0  / 1,0
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções
abaixo Não poderá ser considerada como um elemento para a realização desta análise:
  A avaliação dos riscos e incidentes desejados
Os resultados das auditorias anteriores e análises críticas
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco
anteriores
A realimentação por parte dos envolvidos no SGSI
A avaliação das ações preventivas e corretivas
 Gabarito Comentado.
  6a Questão (Ref.: 201407594442) Pontos: 0,0  / 1,0
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento
de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança
da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI­
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO ­ a organização deve inicialmente definir:
  A politica de gestão de continuidade de negócio.
Identificar e avaliar as opções para o tratamento das vulnerabilidades.
  Identificar, Analisar e avaliar os riscos.
A abordagem de análise/avaliação das vulnerabilidades da organização.
A política do BIA.
24/05/2015 BDQ Prova
data:text/html;charset=utf­8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 3/4
  7a Questão (Ref.: 201407604749) Pontos: 0,0  / 1,0
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios
de implementação da norma ISO/IEC 27001 em qualquer organização:
  Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise
de risco.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança
da informação.
  Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI
pela direção e Melhoria do SGSI
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
 Gabarito Comentado.
  8a Questão (Ref.: 201407418923) Pontos: 0,0  / 1,0
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção
possíveis de serem aplicadas às organizações?
  Lógica, Física e Programada.
Administrativa, Contábil e Física.
Lógica, Administrativa e Contábil.
  Administrativa, Física e Lógica.
Administrativa, Física e Programada.
  9a Questão (Ref.: 201407418907) Pontos: 0,0  / 1,0
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a
organização certificada:
  implementou um sistema para gerência da segurança da informação de acordo com os desejos de
segurança dos funcionários e padrões comerciais.
implementou um sistema para gerência da segurança da informação de acordo com os padrões
nacionais das empresas de TI.
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos
desejos de segurança dos Gerentes de TI.
  implementou um sistema para gerência da segurança da informação de acordo com os padrões e
melhores práticas de segurança reconhecidas no mercado
implementou um sistema para gerência da segurança da informação de acordo com os padrões de
segurança de empresas de maior porte reconhecidas no mercado.
  10a Questão (Ref.: 201407625431) Pontos: 0,0  / 1,0
A norma ISO 27001:2005 adotauma abordagem de processo para o estabelecimento e relacionamento com o
SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua
gestão e utiliza como modelo o Plan­Do­Check­Act (PDCA), aplicado para estruturar todos os processos do
SGSI. Podemos dizer que uma das características da fase "Plan" é:
  A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI,
buscando não burocratizar o funcionamento das áreas.
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos
resultados de processamento, identificar as tentativas e violações de segurança bem­sucedida, e os
incidente de segurança da informação.
24/05/2015 BDQ Prova
data:text/html;charset=utf­8,%3Ctable%20align%3D%22center%22%20width%3D%2295%25%22%20cellpadding%3D%220%22%20cellspacing%3D%22… 4/4
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados
das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos
do SGSI.
  O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e
tecnologia.
 Gabarito Comentado.