Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. Respondido em 05/05/2020 13:11:59 Gabarito Coment. 2a Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente a asserção II está correta Somente as asserções II e III estão corretas Somente as asserções I e III estão corretas Somente a asserção III está correta Somente as asserções I e II estão corretas Respondido em 05/05/2020 13:12:11 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 3a Questão Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Identificação/avaliação sistemática dos eventos de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Respondido em 05/05/2020 13:12:16 4a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Relatório Estratégico. Manuais. Normas. Diretrizes. Procedimentos. Respondido em 05/05/2020 13:12:12 Gabarito Coment. 5a Questão O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo: I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas I e III Apenas III Apenas I e II Apenas I Respondido em 05/05/2020 13:12:16 Explicação: Todas estão corretas 6a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Controle de Acesso Segurança em Recursos Humanos Desenvolvimento e Manutenção de Sistemas Gerenciamento das Operações e Comunicações Segurança Física e do Ambiente Respondido em 05/05/2020 13:12:22 7a Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Respondido em 05/05/2020 13:12:40 8a Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Não-Repúdio; Autenticidade; Confidencialidade; Auditoria; Integridade; 1a Questão A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempohábil Respondido em 05/05/2020 13:13:17 Explicação: O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa. 2a Questão Sobre NBR ISO/IEC 27002 analise as opções abaixo: I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: Apenas II Apenas III Apenas I e III I, II e III Apenas I Respondido em 05/05/2020 13:13:10 Explicação: O certo seria: A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos 3a Questão De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. conter o registro dos incidentes de segurança da organização. revelar informações sensíveis da organização. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. Respondido em 05/05/2020 13:13:21 Gabarito Coment. 4a Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Integridade, prevenção e proteção Integridade, confidencialidade e disponibilidade Flexibilidade, agilidade e conformidade Autenticidade, originalidade e abrangência Prevenção, proteção e reação Respondido em 05/05/2020 13:13:44 5a Questão Os processos que envolvem a gestão de risco são, exceto: Realizar a análise quantitativa do risco Realizar a análise qualitativa do risco Planejar o gerenciamento de risco Identificar os riscos Gerenciar as respostas aos riscos Respondido em 05/05/2020 13:13:49 6a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos residuais são conhecidos antes da comunicação do risco. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Respondido em 05/05/2020 13:13:59 Gabarito Coment. 7a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 05/05/2020 13:14:28 8a Questão Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Diretrizes; Normas e Procedimentos Manuais; Normas e Relatórios Manuais; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Diretrizes; Normas e Relatórios 1a Questão Quando devem ser executadas as ações corretivas? Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Respondido em 05/05/2020 13:14:59 Gabarito Coment. 2a Questão Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. Respondido em 05/05/2020 13:15:08 3a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O equipamento de comunicação O serviço de iluminação O plano de continuidade do negócio. A reputação da organização A base de dados e arquivos Respondido em 05/05/2020 13:15:38 4a Questão Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Suposição de risco Prevenção de risco Transferência de risco Limitação de risco Aceitação de risco Respondido em 05/05/2020 13:15:48 5a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos residuais são conhecidos antes da comunicação do risco. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Respondido em 05/05/2020 13:16:03 Gabarito Coment. 6a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 05/05/2020 13:16:25 Gabarito Coment. 7a Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Gerenciamento das Operações e Comunicações Segurança Física e do Ambiente. Controle de Acesso Respondido em 05/05/2020 13:16:20 8a Questão Em relação as normas, analise as afirmações abaixo: I-Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e serviços que são fornecidos por uma organização. III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do tamanho da organização. Assinale apenas a opção com afirmações corretas: Apenas III I, II e III Apenas I e II Apenas I Apenas I e III 1a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Procedimentos. Diretrizes. Normas. Relatório Estratégico. Manuais. Respondido em 05/05/2020 13:17:06 Gabarito Coment. 2a Questão Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, Análise de risco, Requisitos legais Análise de risco, análise do impacto de negócio (BIA), classificação da informação Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Classificação da informação, requisitos de negócio e análise de risco Análise de vulnerabilidades, requisitos legais e classificação da informação Respondido em 05/05/2020 13:17:15 3a Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27004 ISO/IEC 27003 ISO/IEC 27001 ISO/IEC 27005 ISO/IEC 27002 Respondido em 05/05/2020 13:17:41 Gabarito Coment. 4a Questão A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. oportunidades, ações especulações, ameaças estratégias, ameaças oportunidades, vulnerabilidades determinações, ações Respondido em 05/05/2020 13:17:49 5a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. Controle de Acesso. Segurança dos Ativos. Segurança em Recursos Humanos. Respondido em 05/05/2020 13:17:47 Gabarito Coment. 6a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é O plano de continuidade do negócio. A reputação da organização O serviço de iluminação A base de dados e arquivos O equipamento de comunicação Respondido em 05/05/2020 13:18:08 7a Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Respondido em 05/05/2020 13:18:18 Gabarito Coment. 8a Questão Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 4-3-5-2-1. 5-1-4-3-2. 2-3-1-5-4. 1-2-4-3-5. 4-3-1-2-5. 1a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Normas. Relatório Estratégico. Diretrizes. Manuais. Procedimentos. Respondido em 05/05/2020 13:19:36 Gabarito Coment. 2a Questão Certificações de organizações que implementaram a NBR ISO/IEC 27001 éum meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. Respondido em 05/05/2020 13:19:29 Gabarito Coment. 3a Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente a asserção III está correta Somente as asserções II e III estão corretas Somente as asserções I e III estão corretas Somente a asserção II está correta Somente as asserções I e II estão corretas Respondido em 05/05/2020 13:19:57 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 4a Questão Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/revisão sistemática dos ativos de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Análise/avaliação sistemática dos incidentes de segurança da informação Respondido em 05/05/2020 13:20:04 5a Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Não-Repúdio; Autenticidade; Confidencialidade; Integridade; Auditoria; Respondido em 05/05/2020 13:20:10 Gabarito Coment. 6a Questão O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo: I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas III Apenas I Apenas I e II Apenas I e III Respondido em 05/05/2020 13:20:26 Explicação: Todas estão corretas 7a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Segurança Física e do Ambiente Desenvolvimento e Manutenção de Sistemas Gerenciamento das Operações e Comunicações Controle de Acesso Segurança em Recursos Humanos Respondido em 05/05/2020 13:20:34 8a Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Respondido em 05/05/2020 13:20:46 1a Questão Sobre NBR ISO/IEC 27002 analise as opções abaixo: I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: Apenas I Apenas II Apenas I e III Apenas III I, II e III Respondido em 05/05/2020 13:28:34 Explicação: O certo seria: A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos 2a Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Prevenção, proteção e reação Flexibilidade, agilidade e conformidade Integridade, confidencialidade e disponibilidade Autenticidade, originalidade e abrangência Integridade, prevenção e proteção Respondido em 05/05/2020 13:28:54 3a QuestãoCom relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos residuais são conhecidos antes da comunicação do risco. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Respondido em 05/05/2020 13:28:48 Gabarito Coment. 4a Questão Em relação as normas, analise as afirmações abaixo: I-Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e serviços que são fornecidos por uma organização. III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do tamanho da organização. Assinale apenas a opção com afirmações corretas: Apenas I I, II e III Apenas I e II Apenas I e III Apenas III Respondido em 05/05/2020 13:29:08 Explicação: A III está incorreta, o certo seria: A norma tem a capacidade de apoiar os processos de inovação, independentemente do tamanho da organização. 5a Questão Quando devem ser executadas as ações corretivas? Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Respondido em 05/05/2020 13:29:13 Gabarito Coment. 6a Questão Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. Respondido em 05/05/2020 13:29:17 7a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: O plano de continuidade do negócio. O equipamento de comunicação O serviço de iluminação A reputação da organização A base de dados e arquivos Respondido em 05/05/2020 13:29:15 8a Questão Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Suposição de risco Aceitação de risco Limitação de risco Transferência de risco Prevenção de risco 1a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 05/05/2020 13:29:52 Gabarito Coment. 2a Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gerenciamento das Operações e Comunicações Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Segurança Física e do Ambiente. Controle de Acesso Respondido em 05/05/2020 13:30:00 3a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Respondido em 05/05/2020 13:29:54 Gabarito Coment. 4a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é O equipamento de comunicação A base de dados e arquivos A reputação da organização O plano de continuidade do negócio. O serviço de iluminação Respondido em 05/05/2020 13:30:08 5a Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27001 ISO/IEC 27003 ISO/IEC 27002 Respondido em 05/05/2020 13:30:12 Gabarito Coment. 6a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Manuais. Procedimentos. Diretrizes. Relatório Estratégico. Normas. Respondido em 05/05/2020 13:30:26 Gabarito Coment. 7a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança em Recursos Humanos. Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. Segurança dos Ativos.Controle de Acesso. Respondido em 05/05/2020 13:30:34 Gabarito Coment. 8a Questão Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3) Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 2-3-1-5-4. 4-3-5-2-1. 1-2-4-3-5. 4-3-1-2-5. 5-1-4-3-2. 1a Questão Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: Requisitos de negócio, Análise de risco, Requisitos legais Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais Análise de risco, análise do impacto de negócio (BIA), classificação da informação Análise de vulnerabilidades, requisitos legais e classificação da informação Classificação da informação, requisitos de negócio e análise de risco Respondido em 05/05/2020 13:31:37 2a Questão A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações. A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos. Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação. São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço tem que atender. Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Respondido em 05/05/2020 13:31:32 Gabarito Coment. 3a Questão A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos levando-se em conta os objetivos e _________________ globais da organização são identificadas as ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das ____________ e do impacto potencial ao negócio. especulações, ameaças estratégias, ameaças oportunidades, vulnerabilidades oportunidades, ações determinações, ações Respondido em 05/05/2020 13:31:56 4a Questão O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. Essa descrição está relacionada com qual norma? NBR ISO/IEC 27052 NBR ISO/IEC 7002 NBR ISO/IEC 27012 NBR ISO/IEC 27002 NBR ISO/IEC 28002 Respondido em 05/05/2020 13:32:04 Explicação: NBR ISO/IEC 27002 5a Questão Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. Respondido em 05/05/2020 13:32:34 Gabarito Coment. 6a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção? Normas. Diretrizes. Manuais. Relatório Estratégico. Procedimentos. Respondido em 05/05/2020 13:32:25 Gabarito Coment. 7a Questão Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. Atualmente, notamos que o desafio está na tecnologia. Após a leitura, analise a alternativas e assinale a correta. Somente a asserção II está correta Somente as asserções II e III estão corretas Somente as asserções I e III estão corretas Somente a asserção III está correta Somente as asserções I e II estão corretas Respondido em 05/05/2020 13:32:32 Explicação: I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão adotados, inadequadamente. II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários sobre o assunto. III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma relação de confiabilidade com os clientes e parceiros da empresa. 8a Questão Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência. A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações. Um incidente desegurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra. 1a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na segurança da informação levando em consideração as políticas para autorização e disseminação da informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? Segurança em Recursos Humanos Controle de Acesso Gerenciamento das Operações e Comunicações Desenvolvimento e Manutenção de Sistemas Segurança Física e do Ambiente Respondido em 05/05/2020 13:33:12 2a Questão O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo: I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos. II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização. III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas III Apenas I e II Apenas I Apenas I e III Respondido em 05/05/2020 13:33:30 Explicação: Todas estão corretas 3a Questão Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de uma: Análise/avaliação sistemática dos incidentes de segurança da informação Análise/revisão sistemática dos ativos de segurança da informação Análise/orientação sistemática dos cenários de segurança da informação Análise/avaliação sistemática dos riscos de segurança da informação Identificação/avaliação sistemática dos eventos de segurança da informação Respondido em 05/05/2020 13:33:46 4a Questão Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? Autenticidade; Confidencialidade; Não-Repúdio; Integridade; Auditoria; Respondido em 05/05/2020 13:34:03 Gabarito Coment. 5a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 05/05/2020 13:34:16 6a Questão Os processos que envolvem a gestão de risco são, exceto: Identificar os riscos Realizar a análise quantitativa do risco Realizar a análise qualitativa do risco Gerenciar as respostas aos riscos Planejar o gerenciamento de risco Respondido em 05/05/2020 13:34:13 7a Questão A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para: Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação. Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação. Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil Respondido em 05/05/2020 13:34:25 Explicação: O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa. 8a Questão De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da informação deve: conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção. apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos. ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização. conter o registro dos incidentes de segurança da organização. revelar informações sensíveis da organização. 1a Questão Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos? Diretrizes; Normas e Relatórios Manuais; Normas e Relatórios Diretrizes; Normas e Procedimentos Diretrizes; Manuais e Procedimentos Manuais; Normas e Procedimentos Respondido em 05/05/2020 13:35:32 2a Questão Quando devem ser executadas as ações corretivas? Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição Respondido em 05/05/2020 13:35:37 Gabarito Coment. 3a Questão Em relação as normas, analise as afirmações abaixo: I-Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e serviços que são fornecidos por uma organização. III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do tamanhoda organização. Assinale apenas a opção com afirmações corretas: Apenas I Apenas I e III I, II e III Apenas III Apenas I e II Respondido em 05/05/2020 13:35:42 Explicação: A III está incorreta, o certo seria: A norma tem a capacidade de apoiar os processos de inovação, independentemente do tamanho da organização. 4a Questão Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos: Integridade, confidencialidade e disponibilidade Autenticidade, originalidade e abrangência Prevenção, proteção e reação Flexibilidade, agilidade e conformidade Integridade, prevenção e proteção Respondido em 05/05/2020 13:35:47 5a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos residuais são conhecidos antes da comunicação do risco. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Respondido em 05/05/2020 13:35:43 Gabarito Coment. 6a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é: A reputação da organização O equipamento de comunicação O plano de continuidade do negócio. O serviço de iluminação A base de dados e arquivos Respondido em 05/05/2020 13:35:53 7a Questão Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta. A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas. Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas. No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações. A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação. Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco. Respondido em 05/05/2020 13:36:16 8a Questão Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: Prevenção de risco Limitação de risco Transferência de risco Aceitação de risco Suposição de risco
Compartilhar