aula08

Prévia do material em texto

1a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos 
causados, e assim implantar controles para minimizá-los 
II-A norma não possibilita que as organizações no mundo todo possam se certificar de 
suas práticas de gestão de segurança da informação. 
III-A norma fornece suporte para que as organizações possam utilizar as melhores 
técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas I 
 
I, II e III 
 
Apenas II e III 
 Apenas I e III 
 
Apenas III 
Respondido em 05/05/2020 13:21:06 
 
 
Explicação: 
A afirmativa II é falsa 
 
 
 2a Questão 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
Respondido em 05/05/2020 13:20:55 
 
 
 3a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, 
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a 
peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas 
práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. 
O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento e identificar os incidentes de segurança da informação. 
Respondido em 05/05/2020 13:21:01 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que 
deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter 
e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles 
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as 
evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente 
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, 
se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
I e III. 
 II e III. 
 
III e IV. 
 
II. 
 
I e II. 
Respondido em 05/05/2020 13:21:07 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento 
com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, 
e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os 
processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
Respondido em 05/05/2020 13:21:12 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
 
 
A realimentação por parte dos envolvidos no SGSI 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco 
anteriores 
 
A avaliação das ações preventivas e corretivas 
 
Os resultados das auditorias anteriores e análises críticas 
 A avaliação dos riscos e incidentes desejados 
Respondido em 05/05/2020 13:21:19 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Corrigidas e Preventivas. 
 Corretivas e Preventivas. 
 
Corretivas e Corrigidas. 
 
Corretivas e Correção. 
 
Prevenção e Preventivas. 
Respondido em 05/05/2020 13:21:40 
 
 
 
 8a Questão 
 
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as 
empresas. Qual do beneficios abaixo são promovidos? 
I-Demonstração e garantia de que os requisitos de governança corporativa e de 
continuidade do negócio estejam sendo atendidos. 
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; 
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir 
entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível 
que os documentos dos processos de segurança da informação sejam formalizados. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas III 
 
ApenasII e III 
 I, II e III 
 
Apenas I 
 
Apenas I e III 
1a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das 
organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na 
estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as 
afirmativas abaixo: 
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; 
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em 
diversos países. 
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema 
de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 I, II e III 
 
Apenas I e III 
 
Apenas I 
 
Apenas II 
 
Apenas III 
Respondido em 05/05/2020 13:22:03 
 
 
Explicação: 
Todas são verdadeiras 
 
 
 2a Questão 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente 
associado a que tipo de proteção ? 
 
 
Reação. 
 
Recuperação . 
 
Correção. 
 Preventiva. 
 
Limitação. 
Respondido em 05/05/2020 13:21:52 
 
 
 3a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: 
 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação 
dos riscos e qual nível de aceitação. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a 
eficácia dos controles e políticas de segurança estabelecidos. 
 
Nenhuma das opções anteriores. 
 Nesta etapa são colocadas em prática as ações corretivas e preventivas que 
foram identificadas nas etapas anteriores. 
 Esta etapa implementa através de programas de conscientização e treinamento 
para os funcionários em relação as operações e recursos do SGSI. 
Respondido em 05/05/2020 13:22:15 
 
 
Explicação: 
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um 
sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
 
 
 4a Questão 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 
SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria 
do SGSI 
Respondido em 05/05/2020 13:22:24 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A 
segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de 
Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de 
gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a 
um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do 
cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização 
deve inicialmente definir: 
 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 Identificar, Analisar e avaliar os riscos. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
A politica de gestão de continuidade de negócio. 
 
A política do BIA. 
Respondido em 05/05/2020 13:22:35 
 
 
 6a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma 
declaração da empresa em relação ao seu compromisso com a proteção dos ativo da 
informação 
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global 
e os princípios para atividades que envolvam a segurança da informação. 
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos 
da organização; 
Assinale apenas a opção que contenha afirmações corretas: 
 
 
Apenas II e III 
 
Apenas I e II 
 
Apenas I 
 
Apenas II 
 I, II e III 
Respondido em 05/05/2020 13:22:43 
 
 
Explicação: 
Todas estão corretas 
 
 
 7a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Corretivas e Corrigidas 
 Corretivas e Preventivas 
 
Corrigidas e Preventivas 
 
Corretivas e Correção 
 
Prevenção e Preventivas 
Respondido em 05/05/2020 13:22:48 
 
 
 8a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: 
 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
 Nesta etapa implementa-se através de programas de conscientização e 
treinamento para os funcionários em relação as operações e recursos do SGSI. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos 
controles e políticas de segurança estabelecidos. 
 
Nenhuma das opções anteriores. 
 
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas 
anteriores. 
Respondido em 05/05/2020 13:22:54 
1a Questão 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma 
NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar 
criticamente o SGSI, que compreende a atividade de: 
 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da 
Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 
 
Definir e medir a eficácia dos controles ougrupos de controle selecionados. 
Respondido em 05/05/2020 13:23:34 
 
 
 2a Questão 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 
 Administrativa, Física e Lógica. 
 
Administrativa, Física e Programada. 
 
Administrativa, Contábil e Física. 
 
Lógica, Física e Programada. 
 
Lógica, Administrativa e Contábil. 
Respondido em 05/05/2020 13:23:28 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a 
instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, 
neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 Preventiva 
 
Reação 
 
Limitação 
 
Correção 
 Desencorajamento 
Respondido em 05/05/2020 13:23:31 
 
 
 
 4a Questão 
 
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as 
empresas. Qual do beneficios abaixo são promovidos? 
I-Demonstração e garantia de que os requisitos de governança corporativa e de 
continuidade do negócio estejam sendo atendidos. 
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; 
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai 
permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, 
será possível que os documentos dos processos de segurança da informação sejam 
formalizados. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas III 
 I, II e III 
 
Apenas II e III 
 
Apenas I e III 
 
Apenas I 
Respondido em 05/05/2020 13:23:54 
 
 
Explicação: 
Todas estão corretas 
 
 
 5a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos 
causados, e assim implantar controles para minimizá-los 
II-A norma não possibilita que as organizações no mundo todo possam se certificar de 
suas práticas de gestão de segurança da informação. 
III-A norma fornece suporte para que as organizações possam utilizar as melhores 
técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
I, II e III 
 Apenas I e III 
 
Apenas III 
 
Apenas II e III 
 
Apenas I 
Respondido em 05/05/2020 13:23:45 
 
 
Explicação: 
A afirmativa II é falsa 
 
 
 6a Questão 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
 implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
Respondido em 05/05/2020 13:23:50 
 
 
 7a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, 
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a 
peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas 
práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. 
O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento e identificar os incidentes de segurança da informação. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
Respondido em 05/05/2020 13:24:14 
 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve 
ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados 
necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os 
riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente 
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se 
necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
II. 
 II e III. 
 
I e II. 
 
III e IV. 
 
I e III. 
1a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Corretivas e Corrigidas. 
 
Corrigidas e Preventivas. 
 
Corretivas e Correção. 
 Corretivas e Preventivas. 
 
Prevenção e Preventivas. 
Respondido em 05/05/2020 13:24:43 
 
 
 2a Questão 
 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
 
 
Os resultados das auditorias anteriores e análises críticas 
 
A avaliação das ações preventivas e corretivas 
 
A realimentação por parte dos envolvidos no SGSI 
 A avaliação dos riscos e incidentes desejados 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco 
anteriores 
Respondido em 05/05/2020 13:24:54 
 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento 
com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, 
e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todosos 
processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
Respondido em 05/05/2020 13:25:03 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 
SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria 
do SGSI 
Respondido em 05/05/2020 13:25:15 
 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A 
segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de 
Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de 
gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a 
um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do 
cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização 
deve inicialmente definir: 
 
 
A política do BIA. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
A politica de gestão de continuidade de negócio. 
 Identificar, Analisar e avaliar os riscos. 
Respondido em 05/05/2020 13:25:25 
 
 
 6a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: 
 
 Esta etapa implementa através de programas de conscientização e treinamento 
para os funcionários em relação as operações e recursos do SGSI. 
 
Nenhuma das opções anteriores. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a 
eficácia dos controles e políticas de segurança estabelecidos. 
 Nesta etapa são colocadas em prática as ações corretivas e preventivas que 
foram identificadas nas etapas anteriores. 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
Respondido em 05/05/2020 13:27:04 
 
 
Explicação: 
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um 
sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
 
 
 7a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Prevenção e Preventivas 
 
Corretivas e Correção 
 
Corretivas e Corrigidas 
 
Corrigidas e Preventivas 
 Corretivas e Preventivas 
Respondido em 05/05/2020 13:25:34 
 
 
 8a Questão 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado 
a que tipo de proteção ? 
 
 
Limitação. 
 
Recuperação . 
 
Correção. 
 Preventiva. 
 
Reação. 
1a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das 
organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na 
estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as 
afirmativas abaixo: 
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; 
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em 
diversos países. 
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema 
de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas III 
 
Apenas II 
 
Apenas I 
 I, II e III 
 
Apenas I e III 
Respondido em 05/05/2020 13:27:25 
 
 
Explicação: 
Todas são verdadeiras 
 
 
 2a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos 
causados, e assim implantar controles para minimizá-los 
II-A norma não possibilita que as organizações no mundo todo possam se certificar de 
suas práticas de gestão de segurança da informação. 
III-A norma fornece suporte para que as organizações possam utilizar as melhores 
técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
I, II e III 
 
Apenas III 
 Apenas I e III 
 
Apenas II e III 
 
Apenas I 
Respondido em 05/05/2020 13:27:31 
 
 
Explicação: 
A afirmativa II é falsa 
 
 
 3a Questão 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 
 
Administrativa, Contábil e Física. 
 
Administrativa, Física e Programada. 
 Administrativa, Física e Lógica. 
 
Lógica, Física e Programada. 
 
Lógica, Administrativa e Contábil. 
Respondido em 05/05/2020 13:27:44 
 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que 
deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter 
e melhorar um SGSI documentadodentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles 
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as 
evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente 
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, 
se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
I e II. 
 
II. 
 
III e IV. 
 
I e III. 
 II e III. 
Respondido em 05/05/2020 13:27:51 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma 
NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar 
criticamente o SGSI, que compreende a atividade de: 
 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da 
Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 
 Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
Respondido em 05/05/2020 13:27:57 
 
 
 
 6a Questão 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a 
instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, 
neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 
Reação 
 Desencorajamento 
 
Correção 
 
Preventiva 
 
Limitação 
Respondido em 05/05/2020 13:28:02 
 
 
 7a Questão 
 
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as 
empresas. Qual do beneficios abaixo são promovidos? 
I-Demonstração e garantia de que os requisitos de governança corporativa e de 
continuidade do negócio estejam sendo atendidos. 
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; 
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai 
permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, 
será possível que os documentos dos processos de segurança da informação sejam 
formalizados. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 I, II e III 
 
Apenas II e III 
 
Apenas I 
 
Apenas I e III 
 
Apenas III 
Respondido em 05/05/2020 13:28:06 
 
 
Explicação: 
Todas estão corretas 
 
 
 8a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, 
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a 
peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, 
mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI 
utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento e identificar os incidentes de segurança da informação. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
Respondido em 05/05/2020 13:28:11 
1a Questão 
 
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as 
empresas. Qual do beneficios abaixo são promovidos? 
I-Demonstração e garantia de que os requisitos de governança corporativa e de 
continuidade do negócio estejam sendo atendidos. 
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; 
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai 
permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, 
será possível que os documentos dos processos de segurança da informação sejam 
formalizados. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas I 
 
Apenas I e III 
 
Apenas II e III 
 I, II e III 
 
Apenas III 
Respondido em 05/05/2020 13:42:39 
 
 
Explicação: 
Todas estão corretas 
 
 
 2a Questão 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma 
NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar 
criticamente o SGSI, que compreende a atividade de: 
 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da 
Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
Respondido em 05/05/2020 13:42:47 
 
 
 3a Questão 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a 
instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, 
neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 
Correção 
 
Preventiva 
 
Limitação 
 
Reação 
 Desencorajamento 
Respondido em 05/05/2020 13:42:52 
 
 
 
 4a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das 
organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na 
estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as 
afirmativas abaixo: 
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; 
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em 
diversos países. 
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema 
de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 I, II e III 
 
Apenas II 
 
Apenas I 
 
Apenas I e III 
 
Apenas III 
Respondido em 05/05/2020 13:42:41 
 
 
Explicação: 
Todas são verdadeiras 
 
 
 5a Questão 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurançados funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurança reconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
Respondido em 05/05/2020 13:42:59 
 
 
 6a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, 
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a 
peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas 
práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. 
O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento e identificar os incidentes de segurança da informação. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
Respondido em 05/05/2020 13:43:04 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 
 
Lógica, Física e Programada. 
 
Administrativa, Física e Programada. 
 Administrativa, Física e Lógica. 
 
Administrativa, Contábil e Física. 
 
Lógica, Administrativa e Contábil. 
Respondido em 05/05/2020 13:43:11 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve 
ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados 
necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os 
riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente 
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se 
necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
III e IV. 
 II e III. 
 
II. 
 
I e II. 
 
I e III. 
1a Questão 
 
Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? 
 
 
Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma 
NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos 
requisitos da norma NBR ISO/IEC 27001. 
 Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
 
Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da 
norma NBR ISO/IEC 27001. 
Respondido em 05/05/2020 13:29:52 
 
 
Gabarito 
Coment. 
 
 
 
 2a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do 
negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e 
assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que 
tipo de ação de Segurança? 
 
 
Gerenciamento das Operações e Comunicações 
 
Gestão de Incidentes de Segurança da Informação 
 Gestão da Continuidade do Negócio 
 
Segurança Física e do Ambiente. 
 
Controle de Acesso 
Respondido em 05/05/2020 13:30:00 
 
 
 3a Questão 
 
Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da 
informação. 
 
 
Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após 
a aceitação do plano de tratamento do risco pelos gestores da organização. 
 A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. 
 
Os riscos residuais são conhecidos antes da comunicação do risco. 
 
Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. 
 
Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. 
Respondido em 05/05/2020 13:29:54 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. 
De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do 
inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a 
Norma, um exemplo de ativo do tipo intangível é 
 
 
O equipamento de comunicação 
 
A base de dados e arquivos 
 A reputação da organização 
 
O plano de continuidade do negócio. 
 
O serviço de iluminação 
Respondido em 05/05/2020 13:30:08 
 
 
 
 5a Questão 
 
Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? 
 
 
ISO/IEC 27004 
 ISO/IEC 27005 
 
ISO/IEC 27001 
 
ISO/IEC 27003 
 
ISO/IEC 27002 
Respondido em 05/05/2020 13:30:12 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde 
são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados 
para alcançar a estratégia definida nas diretrizes? 
 
 
Manuais. 
 
Procedimentos. 
 
Diretrizes. 
 
Relatório Estratégico. 
 Normas. 
Respondido em 05/05/2020 13:30:26 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos 
e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está 
fazendo referencia a que tipo de ação de Segurança: 
 
 
Segurança em Recursos Humanos. 
 Segurança Física e do Ambiente. 
 
Gerenciamento das Operações e Comunicações. 
 
Segurança dos Ativos. 
 
Controle de Acesso. 
Respondido em 05/05/2020 13:30:34 
 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 
1) Comitê de segurança da informação. 
2) Controle. 
3)Funções de software e hardware. 
4) Deve ser analisado criticamente. 
5) Política. 
( ) Controle. 
( ) Firewall. 
( ) estrutura organizacional. 
( ) Permissão de acesso a um servidor. 
( ) Ampla divulgação das normas de segurança da informação. 
A combinação correta entre as duas colunas é: 
 
 
2-3-1-5-4. 
 
4-3-5-2-1. 
 
1-2-4-3-5. 
 4-3-1-2-5. 
 
5-1-4-3-2. 
Respondido em 05/05/2020 13:30:41 
1a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: 
 
 Nesta etapa implementa-se através de programas de conscientização e 
treinamento para os funcionários em relação as operações e recursos do SGSI. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos 
controles e políticas de segurança estabelecidos. 
 
Nenhuma das opções anteriores. 
 
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas 
anteriores. 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
Respondido em 05/05/2020 13:44:25 
 
 
Explicação: 
Na fase Check (checar) é realizado o monitoramento e avaliação do 
sistema SGSI a fim de analisar a eficácia dos controles e políticas 
de segurança estabelecidos. Esse monitoramento dos riscos é 
muito importante, já que raramente os riscos permaneceram 
estáticos. Dessa forma, esse processo evitará que ameaças 
aumentem o nível de riscos. 
 
 
 
 2a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Prevenção e Preventivas. 
 Corretivas e Preventivas. 
 
Corrigidas e Preventivas. 
 
Corretivas e Corrigidas. 
 
Corretivas e Correção. 
Respondido em 05/05/2020 13:44:37 
 
 
 3a Questão 
 
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua 
pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções 
abaixo Não poderá ser considerada como um elemento para a realização desta análise: 
 
 A avaliação dos riscos e incidentes desejados 
 
A realimentação por parte dos envolvidos no SGSI 
 
Os resultados das auditorias anteriores e análises críticas 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco 
anteriores 
 
A avaliação das ações preventivas e corretivas 
Respondido em 05/05/2020 13:44:46 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma 
NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar 
criticamente o SGSI, que compreende a atividade de: 
 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da 
Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
Respondido em 05/05/2020 13:45:08 
 
 
 
 5a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, 
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a 
peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas 
práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. 
O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento e identificar os incidentes de segurança da informação. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
Respondido em 05/05/2020 13:45:14 
 
Gabarito 
Coment. 
 
 
 
 6a Questão 
 
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 
 
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que 
deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 
 
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter 
e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 
 
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as 
organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles 
considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as 
evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 
 
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente 
definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, 
se necessário. 
 
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: 
 
 
I e III. 
 
II. 
 II e III. 
 
I e II. 
 
III e IV. 
Respondido em 05/05/2020 13:45:19 
 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de 
situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção 
possíveis de serem aplicadas às organizações? 
 
 
Administrativa, Física e Programada. 
 Administrativa, Física e Lógica. 
 
Lógica, Administrativa e Contábil. 
 
Lógica, Física e Programada. 
 
Administrativa, Contábil e Física. 
Respondido em 05/05/2020 13:45:25 
 
Gabarito 
Coment. 
 
 
 
 8a Questão 
 
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a 
organização certificada: 
 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões de 
segurança de empresas de maior porte reconhecidas no mercado. 
 
implementou um sistema para gerência da segurança da informação de acordo com os padrões 
nacionais das empresas de TI. 
 
implementou um sistema para gerência da segurança da informação de acordo com os desejos de 
segurança dos funcionários e padrões comerciais. 
 implementou um sistema para gerência da segurança da informação de acordo com os padrões e 
melhores práticas de segurançareconhecidas no mercado 
 
implementou um sistema para gerência da segurança da informação de acordo fundamentado nos 
desejos de segurança dos Gerentes de TI. 
Respondido em 05/05/2020 13:45:31 
1a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos 
causados, e assim implantar controles para minimizá-los 
II-A norma não possibilita que as organizações no mundo todo possam se certificar de 
suas práticas de gestão de segurança da informação. 
III-A norma fornece suporte para que as organizações possam utilizar as melhores 
técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
I, II e III 
 
Apenas I 
 
Apenas II e III 
 
Apenas III 
 Apenas I e III 
Respondido em 05/05/2020 13:43:33 
 
 
Explicação: 
A afirmativa II é falsa 
 
 
 2a Questão 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento 
com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, 
e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os 
processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
Respondido em 05/05/2020 13:43:24 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria 
do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 
SGSI pela direção e Melhoria do SGSI 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
Respondido em 05/05/2020 13:43:30 
 
Gabarito 
Coment. 
 
 
 
 4a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: 
 
 Nesta etapa são colocadas em prática as ações corretivas e preventivas que 
foram identificadas nas etapas anteriores. 
 
Nenhuma das opções anteriores. 
 Esta etapa implementa através de programas de conscientização e treinamento 
para os funcionários em relação as operações e recursos do SGSI. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a 
eficácia dos controles e políticas de segurança estabelecidos. 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
Respondido em 05/05/2020 13:43:49 
 
 
Explicação: 
A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um 
sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
 
 
 5a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Corretivas e Corrigidas 
 Corretivas e Preventivas 
 
Prevenção e Preventivas 
 
Corretivas e Correção 
 
Corrigidas e Preventivas 
Respondido em 05/05/2020 13:43:44 
 
 
 
 6a Questão 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente 
associado a que tipo de proteção ? 
 
 
Recuperação . 
 
Reação. 
 
Correção. 
 
Limitação. 
 Preventiva. 
Respondido em 05/05/2020 13:43:49 
 
 
 7a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma 
declaração da empresa em relação ao seu compromisso com a proteção dos ativo da 
informação 
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global 
e os princípios para atividades que envolvam a segurança da informação. 
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos 
da organização; 
Assinale apenas a opção que contenha afirmações corretas: 
 
 
Apenas I e II 
 
Apenas II 
 I, II e III 
 
Apenas I 
 
Apenas II e III 
Respondido em 05/05/2020 13:43:54 
 
 
Explicação: 
Todas estão corretas 
 
 
 8a Questão 
 
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança 
da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento 
de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança 
da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto 
mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- 
SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: 
 
 
A politica de gestão de continuidade de negócio. 
 
A abordagem de análise/avaliação das vulnerabilidades da organização. 
 
A política do BIA. 
 
Identificar e avaliar as opções para o tratamento das vulnerabilidades. 
 Identificar, Analisar e avaliar os riscos. 
1a Questão 
 
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as 
empresas. Qual do beneficios abaixo são promovidos? 
I-Demonstração e garantia de que os requisitos de governança corporativa e de 
continuidade do negócio estejam sendo atendidos. 
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; 
III-Promover a avaliação e identificaçãodos riscos organizacionais. Essa análise vai 
permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, 
será possível que os documentos dos processos de segurança da informação sejam 
formalizados. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas I 
 
Apenas I e III 
 I, II e III 
 
Apenas II e III 
 
Apenas III 
Respondido em 05/05/2020 13:45:32 
 
 
Explicação: 
Todas estão corretas 
 
 
 2a Questão 
 
A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a 
instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, 
neste caso qual o tipo de proteção que está sendo utilizada ? 
 
 
Reação 
 
Preventiva 
 
Correção 
 Desencorajamento 
 
Limitação 
Respondido em 05/05/2020 13:45:54 
 
 
 3a Questão 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente 
associado a que tipo de proteção ? 
 
 
Reação. 
 
Recuperação . 
 
Correção. 
 Preventiva. 
 
Limitação. 
Respondido em 05/05/2020 13:45:42 
 
 
 
 4a Questão 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento 
com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, 
e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os 
processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
Respondido em 05/05/2020 13:46:00 
 
 
Gabarito 
Coment. 
 
 
 
 5a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 
Prevenção e Preventivas 
 
Corretivas e Corrigidas 
 
Corretivas e Correção 
 
Corrigidas e Preventivas 
 Corretivas e Preventivas 
Respondido em 05/05/2020 13:46:06 
 
 
 6a Questão 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria 
do SGSI 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 
SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
Respondido em 05/05/2020 13:46:12 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança 
da informação das organizações. Nessa norma é apresentado os requisitos necessários 
que uma organização necessitará na estruturação de seu sistema de gestão da segurança 
da informação. Sobre essa norma analise as afirmativas abaixo: 
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos 
causados, e assim implantar controles para minimizá-los 
II-A norma não possibilita que as organizações no mundo todo possam se certificar de 
suas práticas de gestão de segurança da informação. 
III-A norma fornece suporte para que as organizações possam utilizar as melhores 
técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas I 
 
I, II e III 
 
Apenas III 
 Apenas I e III 
 
Apenas II e III 
Respondido em 05/05/2020 13:46:03 
 
 
Explicação: 
A afirmativa II é falsa 
 
 
 8a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: 
 
 Esta etapa implementa através de programas de conscientização e treinamento 
para os funcionários em relação as operações e recursos do SGSI. 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação 
dos riscos e qual nível de aceitação. 
 
Nenhuma das opções anteriores. 
 Nesta etapa são colocadas em prática as ações corretivas e preventivas que 
foram identificadas nas etapas anteriores. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a 
eficácia dos controles e políticas de segurança estabelecidos. 
 
 1a Questão 
 
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de 
estruturar todos os processos envolvidos em um sistema de gestão da segurança da 
informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos 
processos da organização e uma solução eficiente para os problemas. 
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: 
 
 Nesta etapa implementa-se através de programas de conscientização e 
treinamento para os funcionários em relação as operações e recursos do SGSI. 
 Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a aceitação dos 
riscos e qual nível de aceitação. 
 
Nenhuma das opções anteriores. 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos 
controles e políticas de segurança estabelecidos. 
 
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas 
anteriores. 
Respondido em 05/05/2020 13:47:04 
 
 
Explicação: 
Na fase Check (checar) é realizado o monitoramento e avaliação do 
sistema SGSI a fim de analisar a eficácia dos controles e políticas 
de segurança estabelecidos. Esse monitoramento dos riscos é 
muito importante, já que raramente os riscos permaneceram 
estáticos. Dessa forma, esse processo evitará que ameaças 
aumentem o nível de riscos. 
 
 
 2a Questão 
 
O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, 
governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou 
destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a 
peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas 
práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. 
O SGSI utilizao modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: 
 
 A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as 
ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento e identificar os incidentes de segurança da informação. 
 
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
Selecionar objetivos de controle e controles para o tratamento de riscos. 
Respondido em 05/05/2020 13:47:15 
 
Gabarito 
Coment. 
 
 
 
 3a Questão 
 
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma 
NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar 
criticamente o SGSI, que compreende a atividade de: 
 
 
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. 
 
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. 
 
Definir e medir a eficácia dos controles ou grupos de controle selecionados. 
 
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e 
vulnerabilidades prevalecentes 
 Especificar os requisitos necessários para o estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da 
Informação (SGSI) dentro do contexto dos riscos de negócio da organização. 
Respondido em 05/05/2020 13:47:27 
 
 
 4a Questão 
 
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente 
associado a que tipo de proteção ? 
 
 Preventiva. 
 
Correção. 
 
Limitação. 
 
Reação. 
 
Recuperação . 
Respondido em 05/05/2020 13:47:31 
 
 
 
 5a Questão 
 
Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as 
empresas. Qual do beneficios abaixo são promovidos? 
I-Demonstração e garantia de que os requisitos de governança corporativa e de 
continuidade do negócio estejam sendo atendidos. 
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; 
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai 
permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, 
será possível que os documentos dos processos de segurança da informação sejam 
formalizados. 
 
Assinale a opção que contenha apenas afirmações corretas: 
 
 
Apenas I 
 
Apenas I e III 
 
Apenas II e III 
 I, II e III 
 
Apenas III 
Respondido em 05/05/2020 13:47:19 
 
 
Explicação: 
Todas estão corretas 
 
 
 6a Questão 
 
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento 
com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, 
e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os 
processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: 
 
 
A organização deve implementar procedimentos de monitoração e análise crítica para detectar 
erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-
sucedida, e os incidente de segurança da informação. 
 O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, 
ativos e tecnologia. 
 
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão 
apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os 
recursos do SGSI. 
 
A organização deve implementar e operar a política, controles, processos e procedimentos do 
SGSI, buscando não burocratizar o funcionamento das áreas. 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os 
resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições 
e sugestões. 
Respondido em 05/05/2020 13:47:40 
 
 
Gabarito 
Coment. 
 
 
 
 7a Questão 
 
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem 
através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise 
dos eventos monitorados e através de ações: 
 
 Corretivas e Preventivas 
 
Prevenção e Preventivas 
 
Corretivas e Correção 
 
Corrigidas e Preventivas 
 
Corretivas e Corrigidas 
Respondido em 05/05/2020 13:47:49 
 
 
 8a Questão 
 
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são 
genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: 
 
 
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de 
segurança da informação. 
 Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do 
SGSI pela direção e Melhoria do SGSI 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas 
 
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e 
análise de risco. 
 
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria 
do SGSI