Segurança da Informação nas Organizações

Prévia do material em texto

1a Questão 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
Respondido em 05/05/2020 13:11:59 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: 
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a 
real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão 
adotados, inadequadamente. 
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança 
da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários 
sobre o assunto. 
III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. 
Atualmente, notamos que o desafio está na tecnologia. 
Após a leitura, analise a alternativas e assinale a correta. 
 
 
Somente a asserção II está correta 
 
Somente as asserções II e III estão corretas 
 
Somente as asserções I e III estão corretas 
 
Somente a asserção III está correta 
 Somente as asserções I e II estão corretas 
Respondido em 05/05/2020 13:12:11 
 
 
Explicação: 
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a 
real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão 
adotados, inadequadamente. 
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança 
da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários 
sobre o assunto. 
III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. 
Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma 
relação de confiabilidade com os clientes e parceiros da empresa. 
 
 
 3a Questão 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de 
uma: 
 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
Respondido em 05/05/2020 13:12:16 
 
 
 4a Questão 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu 
incorporar à sua gestão de acordo com a visão estratégica da alta direção? 
 
 
Relatório Estratégico. 
 
Manuais. 
 
Normas. 
 Diretrizes. 
 
Procedimentos. 
Respondido em 05/05/2020 13:12:12 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios 
para iniciar, implementar, manter e melhorar a gestão de segurança de informação em 
uma empresa. Analise as afirmativas abaixo: 
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, 
por exemplo, empreendimentos comerciais, agências governamentais ou mesmo 
organizações sem fins lucrativos. 
II-A norma especifica os requisitos para implementação de controles de segurança 
adaptados as particularidades de cada organização. 
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, 
que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa 
e as práticas mais eficazes de gestão de segurança. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 I, II e III 
 
Apenas I e III 
 
Apenas III 
 
Apenas I e II 
 
Apenas I 
Respondido em 05/05/2020 13:12:16 
 
 
Explicação: 
Todas estão corretas 
 
 
 6a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos 
de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na 
segurança da informação levando em consideração as políticas para autorização e disseminação da 
informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? 
 
 Controle de Acesso 
 
Segurança em Recursos Humanos 
 
Desenvolvimento e Manutenção de Sistemas 
 
Gerenciamento das Operações e Comunicações 
 
Segurança Física e do Ambiente 
Respondido em 05/05/2020 13:12:22 
 
 
 7a Questão 
 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para 
atender aos requisitos identificados exclusivamente por meio da classificação das informações. 
 Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um 
Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os 
quais toda a família está baseada e se integra. 
 
A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um 
risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. 
 
Um incidente de segurança da informação é indicado por um evento de segurança da informação 
esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e 
ameaçar a segurança da informação. 
 
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias 
principais de segurança e uma seção introdutória que aborda a questões de contingência. 
Respondido em 05/05/2020 13:12:40 
 
 
 
 8a Questão 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha 
como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança? 
 
 
Não-Repúdio; 
 Autenticidade; 
 
Confidencialidade; 
 
Auditoria; 
 
Integridade; 
1a Questão 
 
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como 
objetivo apresentar recomendações para: 
 
 
Resolver de forma definitiva os problemas causados por incidentes de segurança da informação 
estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos 
sistemas de informação e comunicação. 
 
Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos 
de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso 
 
Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações 
contratuais e de quaisquer requisitos de segurança da informação. 
 
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da 
informação e detectar e resolver incidentes de segurança da informação em tempo hábil 
 Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de 
informação sejam comunicados, permitindo a tomada de ação corretiva em tempohábil 
Respondido em 05/05/2020 13:13:17 
 
 
Explicação: 
O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização. 
Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em 
conta os ambientes de risco encontrados na empresa. 
 
 
 2a Questão 
 
Sobre NBR ISO/IEC 27002 analise as opções abaixo: 
I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, 
implementar, manter e melhorar a gestão de segurança de informação em uma empresa. 
II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações. 
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, 
que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa 
e as práticas mais eficazes de gestão de segurança. 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas II 
 
Apenas III 
 Apenas I e III 
 
I, II e III 
 
Apenas I 
Respondido em 05/05/2020 13:13:10 
 
 
Explicação: 
O certo seria: 
A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, 
empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos 
 
 
 3a Questão 
 
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da 
informação deve: 
 
 
apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de 
definir como será o processo de gestão de riscos. 
 
conter o registro dos incidentes de segurança da organização. 
 
revelar informações sensíveis da organização. 
 ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com 
a organização. 
 
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na 
organização, inclusive pela direção. 
Respondido em 05/05/2020 13:13:21 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de 
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e 
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por 
três princípios básicos: 
 
 
Integridade, prevenção e proteção 
 Integridade, confidencialidade e disponibilidade 
 
Flexibilidade, agilidade e conformidade 
 
Autenticidade, originalidade e abrangência 
 
Prevenção, proteção e reação 
Respondido em 05/05/2020 13:13:44 
 
 
 
 5a Questão 
 
Os processos que envolvem a gestão de risco são, exceto: 
 
 
Realizar a análise quantitativa do risco 
 
Realizar a análise qualitativa do risco 
 
Planejar o gerenciamento de risco 
 
Identificar os riscos 
 Gerenciar as respostas aos riscos 
Respondido em 05/05/2020 13:13:49 
 
 
 6a Questão 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após 
a aceitação do plano de tratamento do risco pelos gestores da organização. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
Respondido em 05/05/2020 13:13:59 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
Respondido em 05/05/2020 13:14:28 
 
 
 
 8a Questão 
 
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. 
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo 
apresenta um conjunto típico destes documentos? 
 
 Diretrizes; Normas e Procedimentos 
 
Manuais; Normas e Relatórios 
 
Manuais; Normas e Procedimentos 
 
Diretrizes; Manuais e Procedimentos 
 
Diretrizes; Normas e Relatórios 
1a Questão 
 
Quando devem ser executadas as ações corretivas? 
 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos 
do SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
Respondido em 05/05/2020 13:14:59 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da 
informação. Assinale a opção correta. 
 
 
No escopo legal da segurança da informação, há três controles essenciais para uma organização: o 
documento da política de segurança da informação, a atribuição de responsabilidades pela 
segurança da informação e o processamento correto das aplicações. 
 
Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para 
implementação da segurança da informação é efetuada imediatamente após a identificação dos 
fatores de risco. 
 Os requisitos de segurança da informação de uma organização são obtidos por três fontes 
principais, sendo a análise de riscos uma delas. 
 
A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias 
adequadas. 
 
A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, 
monitoramento e melhoria da segurança da informação. 
Respondido em 05/05/2020 13:15:08 
 
 
 
 3a Questão 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. 
De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do 
inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a 
Norma, um exemplo de ativo do tipo intangível é: 
 
 
O equipamento de comunicação 
 
O serviço de iluminação 
 
O plano de continuidade do negócio. 
 A reputação da organização 
 A base de dados e arquivos 
Respondido em 05/05/2020 13:15:38 
 
 
 4a Questão 
 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
 
 
Suposição de risco 
 
Prevenção de risco 
 
Transferência de risco 
 
Limitação de risco 
 Aceitação de risco 
Respondido em 05/05/2020 13:15:48 
 
 
 5a Questão 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após 
a aceitação do plano de tratamento do risco pelos gestores da organização. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
Respondido em 05/05/2020 13:16:03 
 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
Respondido em 05/05/2020 13:16:25 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e 
assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que 
tipo de ação de Segurança? 
 
 
Gestão de Incidentes de Segurança da Informação 
 Gestão da Continuidade do Negócio 
 
Gerenciamento das Operações e Comunicações 
 
Segurança Física e do Ambiente. 
 
Controle de Acesso 
Respondido em 05/05/2020 13:16:20 
 
 
 8a Questão 
 
Em relação as normas, analise as afirmações abaixo: 
I-Uma norma pode ser definida como um documento que possui uma descrição técnica e 
precisa de critérios a serem seguidos por todos da empresa 
II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e 
serviços que são fornecidos por uma organização. 
III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do 
tamanho da organização. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas III 
 
I, II e III 
 Apenas I e II 
 
Apenas I 
 
Apenas I e III 
1a Questão 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados 
para alcançar a estratégia definida nas diretrizes? 
 
 
Procedimentos. 
 
Diretrizes. 
 Normas. 
 
Relatório Estratégico. 
 
Manuais. 
Respondido em 05/05/2020 13:17:06 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
 
 Requisitos de negócio, Análise de risco, Requisitos legais 
 
Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 
Classificação da informação, requisitos de negócio e análise de risco 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
Respondido em 05/05/2020 13:17:15 
 
 
 3a Questão 
 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 
 
ISO/IEC 27004 
 
ISO/IEC 27003 
 
ISO/IEC 27001 
 ISO/IEC 27005 
 ISO/IEC 27002 
Respondido em 05/05/2020 13:17:41 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem 
avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a 
Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos 
levando-se em conta os objetivos e _________________ globais da organização são identificadas as 
ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das 
____________ e do impacto potencial ao negócio. 
 
 
oportunidades, ações 
 
especulações, ameaças 
 estratégias, ameaças 
 
oportunidades, vulnerabilidades 
 
determinações, ações 
Respondido em 05/05/2020 13:17:49 
 
 
 5a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos 
e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está 
fazendo referencia a que tipo de ação de Segurança: 
 
 Segurança Física e do Ambiente. 
 
Gerenciamento das Operações e Comunicações. 
 
Controle de Acesso. 
 
Segurança dos Ativos. 
 
Segurança em Recursos Humanos. 
Respondido em 05/05/2020 13:17:47 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. 
De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do 
inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a 
Norma, um exemplo de ativo do tipo intangível é 
 
 
O plano de continuidade do negócio. 
 A reputação da organização 
 
O serviço de iluminação 
 
A base de dados e arquivos 
 
O equipamento de comunicação 
Respondido em 05/05/2020 13:18:08 
 
 
 
 7a Questão 
 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem 
como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a 
gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, 
Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: 
 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências 
com as instalações e informações da organização. 
 É o conjunto de princípios e objetivos para o processamento da informação que uma organização 
tem que desenvolver para apoiar suas operações. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de segurança da 
informação. 
 
A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam 
suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto 
ou roubo, fraude ou mau uso dos recursos. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, 
seus parceiros comerciais, contratados e provedores de serviço tem que atender. 
Respondido em 05/05/2020 13:18:18 
 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
4-3-5-2-1. 
 
5-1-4-3-2. 
 
2-3-1-5-4. 
 
1-2-4-3-5. 
 4-3-1-2-5. 
1a Questão 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu 
incorporar à sua gestão de acordo com a visão estratégica da alta direção? 
 
 
Normas. 
 
Relatório Estratégico. 
 Diretrizes. 
 
Manuais. 
 
Procedimentos. 
Respondido em 05/05/2020 13:19:36 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 éum meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
Respondido em 05/05/2020 13:19:29 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: 
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a 
real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão 
adotados, inadequadamente. 
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança 
da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários 
sobre o assunto. 
III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. 
Atualmente, notamos que o desafio está na tecnologia. 
Após a leitura, analise a alternativas e assinale a correta. 
 
 
Somente a asserção III está correta 
 
Somente as asserções II e III estão corretas 
 
Somente as asserções I e III estão corretas 
 
Somente a asserção II está correta 
 Somente as asserções I e II estão corretas 
Respondido em 05/05/2020 13:19:57 
 
 
Explicação: 
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a 
real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão 
adotados, inadequadamente. 
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança 
da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários 
sobre o assunto. 
III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. 
Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma 
relação de confiabilidade com os clientes e parceiros da empresa. 
 
 
 4a Questão 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de 
uma: 
 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
 Análise/avaliação sistemática dos riscos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
Respondido em 05/05/2020 13:20:04 
 
 
 5a Questão 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha 
como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de 
segurança? 
 
 
Não-Repúdio; 
 Autenticidade; 
 
Confidencialidade; 
 
Integridade; 
 
Auditoria; 
Respondido em 05/05/2020 13:20:10 
 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios 
para iniciar, implementar, manter e melhorar a gestão de segurança de informação em 
uma empresa. Analise as afirmativas abaixo: 
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, 
por exemplo, empreendimentos comerciais, agências governamentais ou mesmo 
organizações sem fins lucrativos. 
II-A norma especifica os requisitos para implementação de controles de segurança 
adaptados as particularidades de cada organização. 
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, 
que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa 
e as práticas mais eficazes de gestão de segurança. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 I, II e III 
 
Apenas III 
 
Apenas I 
 
Apenas I e II 
 
Apenas I e III 
Respondido em 05/05/2020 13:20:26 
 
 
Explicação: 
Todas estão corretas 
 
 
 7a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos 
de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na 
segurança da informação levando em consideração as políticas para autorização e disseminação da 
informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? 
 
 
Segurança Física e do Ambiente 
 
Desenvolvimento e Manutenção de Sistemas 
 
Gerenciamento das Operações e Comunicações 
 Controle de Acesso 
 
Segurança em Recursos Humanos 
Respondido em 05/05/2020 13:20:34 
 
 
 
 8a Questão 
 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 
A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. 
Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. 
 
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para 
atender aos requisitos identificados exclusivamente por meio da classificação das informações. 
 
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais 
de segurança e uma seção introdutória que aborda a questões de contingência. 
 
 
Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um 
Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais 
toda a família está baseada e se integra. 
 
Um incidente de segurança da informação é indicado por um evento de segurança da informação 
esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a 
segurança da informação. 
Respondido em 05/05/2020 13:20:46 
1a Questão 
 
Sobre NBR ISO/IEC 27002 analise as opções abaixo: 
I- O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, 
implementar, manter e melhorar a gestão de segurança de informação em uma empresa. 
II-A norma NBR ISO/IEC 27002 não deve ser aplicada a todos os tipos de organizações. 
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, 
que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa 
e as práticas mais eficazes de gestão de segurança. 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas I 
 
Apenas II 
 Apenas I e III 
 
Apenas III 
 
I, II e III 
Respondido em 05/05/2020 13:28:34 
 
 
Explicação: 
O certo seria: 
A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, 
empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos 
 
 
 2a Questão 
 
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de 
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e 
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por 
três princípios básicos: 
 
 
Prevenção, proteção e reação 
 
Flexibilidade, agilidade e conformidade 
 Integridade, confidencialidade e disponibilidade 
 
Autenticidade, originalidade e abrangência 
 
Integridade, prevenção e proteção 
Respondido em 05/05/2020 13:28:54 
 
 
 3a QuestãoCom relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após 
a aceitação do plano de tratamento do risco pelos gestores da organização. 
Respondido em 05/05/2020 13:28:48 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Em relação as normas, analise as afirmações abaixo: 
I-Uma norma pode ser definida como um documento que possui uma descrição técnica e 
precisa de critérios a serem seguidos por todos da empresa 
II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e 
serviços que são fornecidos por uma organização. 
III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do 
tamanho da organização. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I 
 
I, II e III 
 Apenas I e II 
 
Apenas I e III 
 
Apenas III 
Respondido em 05/05/2020 13:29:08 
 
 
Explicação: 
A III está incorreta, o certo seria: 
A norma tem a capacidade de apoiar os processos de inovação, independentemente do 
tamanho da organização. 
 
 
 5a Questão 
 
Quando devem ser executadas as ações corretivas? 
 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos 
do SGSI de forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a 
evitar a sua repetição 
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
Respondido em 05/05/2020 13:29:13 
 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da 
informação. Assinale a opção correta. 
 
 
No escopo legal da segurança da informação, há três controles essenciais para uma organização: o 
documento da política de segurança da informação, a atribuição de responsabilidades pela 
segurança da informação e o processamento correto das aplicações. 
 Os requisitos de segurança da informação de uma organização são obtidos por três fontes 
principais, sendo a análise de riscos uma delas. 
 
Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para 
implementação da segurança da informação é efetuada imediatamente após a identificação dos 
fatores de risco. 
 
A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, 
monitoramento e melhoria da segurança da informação. 
 
A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias 
adequadas. 
Respondido em 05/05/2020 13:29:17 
 
 
 
 7a Questão 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. 
De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do 
inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a 
Norma, um exemplo de ativo do tipo intangível é: 
 
 
O plano de continuidade do negócio. 
 
O equipamento de comunicação 
 
O serviço de iluminação 
 A reputação da organização 
 
A base de dados e arquivos 
Respondido em 05/05/2020 13:29:15 
 
 
 8a Questão 
 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
 
 
Suposição de risco 
 Aceitação de risco 
 
Limitação de risco 
 
Transferência de risco 
 
Prevenção de risco 
1a Questão 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
Respondido em 05/05/2020 13:29:52 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e 
assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que 
tipo de ação de Segurança? 
 
 
Gerenciamento das Operações e Comunicações 
 
Gestão de Incidentes de Segurança da Informação 
 Gestão da Continuidade do Negócio 
 
Segurança Física e do Ambiente. 
 
Controle de Acesso 
Respondido em 05/05/2020 13:30:00 
 
 
 
 3a Questão 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após 
a aceitação do plano de tratamento do risco pelos gestores da organização. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
Respondido em 05/05/2020 13:29:54 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. 
De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do 
inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a 
Norma, um exemplo de ativo do tipo intangível é 
 
 
O equipamento de comunicação 
 
A base de dados e arquivos 
 A reputação da organização 
 
O plano de continuidade do negócio. 
 
O serviço de iluminação 
Respondido em 05/05/2020 13:30:08 
 
 
 5a Questão 
 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 
 
ISO/IEC 27004 
 ISO/IEC 27005 
 
ISO/IEC 27001 
 
ISO/IEC 27003 
 
ISO/IEC 27002 
Respondido em 05/05/2020 13:30:12 
 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados 
para alcançar a estratégia definida nas diretrizes? 
 
 
Manuais. 
 
Procedimentos. 
 
Diretrizes. 
 
Relatório Estratégico. 
 Normas. 
Respondido em 05/05/2020 13:30:26 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos 
e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está 
fazendo referencia a que tipo de ação de Segurança: 
 
 
Segurança em Recursos Humanos. 
 Segurança Física e do Ambiente. 
 
Gerenciamento das Operações e Comunicações. 
 
Segurança dos Ativos.Controle de Acesso. 
Respondido em 05/05/2020 13:30:34 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3) Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
2-3-1-5-4. 
 
4-3-5-2-1. 
 
1-2-4-3-5. 
 4-3-1-2-5. 
 
5-1-4-3-2. 
1a Questão 
 
Segundo a Norma ISSO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da 
informação, através de três fontes principais: 
 
 Requisitos de negócio, Análise de risco, Requisitos legais 
 
Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais 
 
Análise de risco, análise do impacto de negócio (BIA), classificação da informação 
 
Análise de vulnerabilidades, requisitos legais e classificação da informação 
 
Classificação da informação, requisitos de negócio e análise de risco 
Respondido em 05/05/2020 13:31:37 
 
 
 2a Questão 
 
A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem 
como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a 
gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, 
Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio: 
 
 É o conjunto de princípios e objetivos para o processamento da informação que uma organização 
tem que desenvolver para apoiar suas operações. 
 
A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam 
suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto 
ou roubo, fraude ou mau uso dos recursos. 
 
Uma orientação de como a organização deve proceder para estabelecer a política de segurança da 
informação. 
 
São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização, 
seus parceiros comerciais, contratados e provedores de serviço tem que atender. 
 
Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências 
com as instalações e informações da organização. 
Respondido em 05/05/2020 13:31:32 
 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
A norma ISO 27002 estabelece um referencial para as organizações desenvolverem, implementarem 
avaliarem a gestão da segurança da informação. Estabelece diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em relação a 
Análise de Risco utilizada por esta norma complete as lacunas: A partir da análise/avaliação de riscos 
levando-se em conta os objetivos e _________________ globais da organização são identificadas as 
ameaças aos ativos e as vulnerabilidades. É realizada ainda uma estimativa de ocorrência das 
____________ e do impacto potencial ao negócio. 
 
 
especulações, ameaças 
 estratégias, ameaças 
 
oportunidades, vulnerabilidades 
 
oportunidades, ações 
 
determinações, ações 
Respondido em 05/05/2020 13:31:56 
 
 
 4a Questão 
 
O grande objetivo da norma é estabelecer diretrizes e princípios para iniciar, 
implementar, manter e melhorar a gestão de segurança de informação em uma 
empresa.A norma deve ser aplicada a todos os tipos de organizações seja, por exemplo, 
empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins 
lucrativos. A norma especifica os requisitos para implementação de controles de 
segurança adaptados as particularidades de cada organização. 
Essa descrição está relacionada com qual norma? 
 
 
NBR ISO/IEC 27052 
 
NBR ISO/IEC 7002 
 
NBR ISO/IEC 27012 
 NBR ISO/IEC 27002 
 
NBR ISO/IEC 28002 
Respondido em 05/05/2020 13:32:04 
 
 
Explicação: 
NBR ISO/IEC 27002 
 
 
 5a Questão 
 
Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
Respondido em 05/05/2020 13:32:34 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu 
incorporar à sua gestão de acordo com a visão estratégica da alta direção? 
 
 
Normas. 
 Diretrizes. 
 
Manuais. 
 
Relatório Estratégico. 
 
Procedimentos. 
Respondido em 05/05/2020 13:32:25 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Sobre a segurança da informação no ambiente corporativo, leia as asserções a seguir: 
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a 
real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão 
adotados, inadequadamente. 
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança 
da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários 
sobre o assunto. 
III. Antigamente a atenção dada à segurança da informação estava focada apenas nas pessoas. 
Atualmente, notamos que o desafio está na tecnologia. 
Após a leitura, analise a alternativas e assinale a correta. 
 
 
Somente a asserção II está correta 
 
Somente as asserções II e III estão corretas 
 
Somente as asserções I e III estão corretas 
 
Somente a asserção III está correta 
 Somente as asserções I e II estão corretas 
Respondido em 05/05/2020 13:32:32 
 
 
Explicação: 
I. Antes de se estabelecer qual a melhor política de segurança, faz-se necessário analisar e planejar, qual a 
real necessidade da mesma, pois, dessa forma, implantações de mecanismos de segurança não serão 
adotados, inadequadamente. 
II. Os administradores precisam de procedimentos para conduzir uma avaliação periódica sobre segurança 
da informação, revisar os resultados e tomar as medidas necessárias, treinar e educar seus funcionários 
sobre o assunto. 
III. Antigamente a atenção dada à segurança da informação estava focada apenas na tecnologia. 
Atualmente, notamos que o desafio vai além desta amplitude e engloba, também, a construção de uma 
relação de confiabilidade com os clientes e parceiros da empresa. 
 
 
 8a Questão 
 
Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar: 
 
 
Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais 
de segurança e uma seção introdutória que aborda a questões de contingência. 
 
A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. 
Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos. 
 
Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para 
atender aos requisitos identificados exclusivamente por meio da classificação das informações. 
 
Um incidente desegurança da informação é indicado por um evento de segurança da informação 
esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a 
segurança da informação. 
 
 
Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um 
Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais 
toda a família está baseada e se integra. 
1a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve controlar o acesso à informação, aos recursos 
de processamento de dados e aos processos de negócios com base nos requisitos de negócio e na 
segurança da informação levando em consideração as políticas para autorização e disseminação da 
informação. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança? 
 
 
Segurança em Recursos Humanos 
 Controle de Acesso 
 
Gerenciamento das Operações e Comunicações 
 
Desenvolvimento e Manutenção de Sistemas 
 
Segurança Física e do Ambiente 
Respondido em 05/05/2020 13:33:12 
 
 
 2a Questão 
 
O grande objetivo da norma NBR ISO/IEC 27002 é estabelecer diretrizes e princípios 
para iniciar, implementar, manter e melhorar a gestão de segurança de informação em 
uma empresa. Analise as afirmativas abaixo: 
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, 
por exemplo, empreendimentos comerciais, agências governamentais ou mesmo 
organizações sem fins lucrativos. 
II-A norma especifica os requisitos para implementação de controles de segurança 
adaptados as particularidades de cada organização. 
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, 
que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa 
e as práticas mais eficazes de gestão de segurança. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 I, II e III 
 
Apenas III 
 
Apenas I e II 
 
Apenas I 
 
Apenas I e III 
Respondido em 05/05/2020 13:33:30 
 
 
Explicação: 
Todas estão corretas 
 
 
 3a Questão 
 
Segundo a norma NBR ISO/IEC 27002 os riscos de segurança da informação são identificados por meio de 
uma: 
 
 
Análise/avaliação sistemática dos incidentes de segurança da informação 
 
Análise/revisão sistemática dos ativos de segurança da informação 
 
Análise/orientação sistemática dos cenários de segurança da informação 
 Análise/avaliação sistemática dos riscos de segurança da informação 
 
Identificação/avaliação sistemática dos eventos de segurança da informação 
Respondido em 05/05/2020 13:33:46 
 
 
 4a Questão 
 
Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha 
como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de 
segurança? 
 
 Autenticidade; 
 
Confidencialidade; 
 
Não-Repúdio; 
 
Integridade; 
 
Auditoria; 
Respondido em 05/05/2020 13:34:03 
 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
Respondido em 05/05/2020 13:34:16 
 
 
 
 6a Questão 
 
Os processos que envolvem a gestão de risco são, exceto: 
 
 
Identificar os riscos 
 
Realizar a análise quantitativa do risco 
 
Realizar a análise qualitativa do risco 
 Gerenciar as respostas aos riscos 
 
Planejar o gerenciamento de risco 
Respondido em 05/05/2020 13:34:13 
 
 
 7a Questão 
 
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como 
objetivo apresentar recomendações para: 
 
 
Resolver de forma definitiva os problemas causados por incidentes de segurança da informação 
estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos 
sistemas de informação e comunicação. 
 
Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos 
de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso 
 Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de 
informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil 
 
Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações 
contratuais e de quaisquer requisitos de segurança da informação. 
 
Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da 
informação e detectar e resolver incidentes de segurança da informação em tempo hábil 
Respondido em 05/05/2020 13:34:25 
 
 
Explicação: 
O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, 
implementar, manter e melhorar a gestão de segurança da informação em uma organização. 
Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em 
conta os ambientes de risco encontrados na empresa. 
 
 
 8a Questão 
 
De acordo com as normas ABNT NBR 27001, 27002 e 27005, o documento da política de segurança da 
informação deve: 
 
 
conter uma declaração de comprometimento elaborada por todos aqueles que atuam na 
organização, inclusive pela direção. 
 
apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de 
definir como será o processo de gestão de riscos. 
 ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com 
a organização. 
 
conter o registro dos incidentes de segurança da organização. 
 
revelar informações sensíveis da organização. 
1a Questão 
 
Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. 
Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo 
apresenta um conjunto típico destes documentos? 
 
 
Diretrizes; Normas e Relatórios 
 
Manuais; Normas e Relatórios 
 Diretrizes; Normas e Procedimentos 
 
Diretrizes; Manuais e Procedimentos 
 
Manuais; Normas e Procedimentos 
Respondido em 05/05/2020 13:35:32 
 
 
 2a Questão 
 
Quando devem ser executadas as ações corretivas? 
 
 
Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos 
do SGSI de forma a evitar a sua repetição 
 Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
 
Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a 
evitar a sua repetição 
 
Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de 
forma a evitar a sua repetição 
Respondido em 05/05/2020 13:35:37 
 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
Em relação as normas, analise as afirmações abaixo: 
I-Uma norma pode ser definida como um documento que possui uma descrição técnica e 
precisa de critérios a serem seguidos por todos da empresa 
II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e 
serviços que são fornecidos por uma organização. 
III-A norma tem a capacidade de apoiar os processos de inovação, porém depende do 
tamanhoda organização. 
 
Assinale apenas a opção com afirmações corretas: 
 
 
Apenas I 
 
Apenas I e III 
 
I, II e III 
 
Apenas III 
 Apenas I e II 
Respondido em 05/05/2020 13:35:42 
 
 
Explicação: 
A III está incorreta, o certo seria: 
A norma tem a capacidade de apoiar os processos de inovação, independentemente do 
tamanho da organização. 
 
 
 4a Questão 
 
Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de 
informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e 
maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por 
três princípios básicos: 
 
 Integridade, confidencialidade e disponibilidade 
 
Autenticidade, originalidade e abrangência 
 
Prevenção, proteção e reação 
 
Flexibilidade, agilidade e conformidade 
 
Integridade, prevenção e proteção 
Respondido em 05/05/2020 13:35:47 
 
 
 
 5a Questão 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após 
a aceitação do plano de tratamento do risco pelos gestores da organização. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
Respondido em 05/05/2020 13:35:43 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. 
De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do 
inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a 
Norma, um exemplo de ativo do tipo intangível é: 
 
 A reputação da organização 
 
O equipamento de comunicação 
 
O plano de continuidade do negócio. 
 
O serviço de iluminação 
 
A base de dados e arquivos 
Respondido em 05/05/2020 13:35:53 
 
 
 7a Questão 
 
Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da 
informação. Assinale a opção correta. 
 
 
A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias 
adequadas. 
 Os requisitos de segurança da informação de uma organização são obtidos por três fontes 
principais, sendo a análise de riscos uma delas. 
 
No escopo legal da segurança da informação, há três controles essenciais para uma organização: o 
documento da política de segurança da informação, a atribuição de responsabilidades pela 
segurança da informação e o processamento correto das aplicações. 
 
A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, 
monitoramento e melhoria da segurança da informação. 
 
Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para 
implementação da segurança da informação é efetuada imediatamente após a identificação dos 
fatores de risco. 
Respondido em 05/05/2020 13:36:16 
 
 
 8a Questão 
 
Marque a alternativa que NÃO representa uma alternativa a mitigação de risco: 
 
 
Prevenção de risco 
 
Limitação de risco 
 
Transferência de risco 
 Aceitação de risco 
 
Suposição de risco