Baixe o app para aproveitar ainda mais
Prévia do material em texto
1a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. Assinale a opção que contenha apenas afirmações corretas: Apenas I I, II e III Apenas II e III Apenas I e III Apenas III Respondido em 05/05/2020 13:21:06 Explicação: A afirmativa II é falsa 2a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. Respondido em 05/05/2020 13:20:55 3a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. Respondido em 05/05/2020 13:21:01 Gabarito Coment. 4a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e III. II e III. III e IV. II. I e II. Respondido em 05/05/2020 13:21:07 Gabarito Coment. 5a Questão A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem- sucedida, e os incidente de segurança da informação. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Respondido em 05/05/2020 13:21:12 Gabarito Coment. 6a Questão A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A realimentação por parte dos envolvidos no SGSI Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores A avaliação das ações preventivas e corretivas Os resultados das auditorias anteriores e análises críticas A avaliação dos riscos e incidentes desejados Respondido em 05/05/2020 13:21:19 Gabarito Coment. 7a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corrigidas e Preventivas. Corretivas e Preventivas. Corretivas e Corrigidas. Corretivas e Correção. Prevenção e Preventivas. Respondido em 05/05/2020 13:21:40 8a Questão Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas III ApenasII e III I, II e III Apenas I Apenas I e III 1a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países. III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas I e III Apenas I Apenas II Apenas III Respondido em 05/05/2020 13:22:03 Explicação: Todas são verdadeiras 2a Questão A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Reação. Recuperação . Correção. Preventiva. Limitação. Respondido em 05/05/2020 13:21:52 3a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Nenhuma das opções anteriores. Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. Respondido em 05/05/2020 13:22:15 Explicação: A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. 4a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Respondido em 05/05/2020 13:22:24 Gabarito Coment. 5a Questão Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A abordagem de análise/avaliação das vulnerabilidades da organização. Identificar, Analisar e avaliar os riscos. Identificar e avaliar as opções para o tratamento das vulnerabilidades. A politica de gestão de continuidade de negócio. A política do BIA. Respondido em 05/05/2020 13:22:35 6a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativo da informação II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação. III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização; Assinale apenas a opção que contenha afirmações corretas: Apenas II e III Apenas I e II Apenas I Apenas II I, II e III Respondido em 05/05/2020 13:22:43 Explicação: Todas estão corretas 7a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas Corretivas e Preventivas Corrigidas e Preventivas Corretivas e Correção Prevenção e Preventivas Respondido em 05/05/2020 13:22:48 8a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Nenhuma das opções anteriores. São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Respondido em 05/05/2020 13:22:54 1a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Definir e medir a eficácia dos controles ougrupos de controle selecionados. Respondido em 05/05/2020 13:23:34 2a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Lógica. Administrativa, Física e Programada. Administrativa, Contábil e Física. Lógica, Física e Programada. Lógica, Administrativa e Contábil. Respondido em 05/05/2020 13:23:28 Gabarito Coment. 3a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Preventiva Reação Limitação Correção Desencorajamento Respondido em 05/05/2020 13:23:31 4a Questão Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas III I, II e III Apenas II e III Apenas I e III Apenas I Respondido em 05/05/2020 13:23:54 Explicação: Todas estão corretas 5a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas I e III Apenas III Apenas II e III Apenas I Respondido em 05/05/2020 13:23:45 Explicação: A afirmativa II é falsa 6a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. Respondido em 05/05/2020 13:23:50 7a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. Respondido em 05/05/2020 13:24:14 Gabarito Coment. 8a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: II. II e III. I e II. III e IV. I e III. 1a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas. Corrigidas e Preventivas. Corretivas e Correção. Corretivas e Preventivas. Prevenção e Preventivas. Respondido em 05/05/2020 13:24:43 2a Questão A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: Os resultados das auditorias anteriores e análises críticas A avaliação das ações preventivas e corretivas A realimentação por parte dos envolvidos no SGSI A avaliação dos riscos e incidentes desejados Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores Respondido em 05/05/2020 13:24:54 Gabarito Coment. 3a Questão A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todosos processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem- sucedida, e os incidente de segurança da informação. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Respondido em 05/05/2020 13:25:03 Gabarito Coment. 4a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Respondido em 05/05/2020 13:25:15 Gabarito Coment. 5a Questão Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A política do BIA. Identificar e avaliar as opções para o tratamento das vulnerabilidades. A abordagem de análise/avaliação das vulnerabilidades da organização. A politica de gestão de continuidade de negócio. Identificar, Analisar e avaliar os riscos. Respondido em 05/05/2020 13:25:25 6a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. Nenhuma das opções anteriores. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Respondido em 05/05/2020 13:27:04 Explicação: A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. 7a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas Corretivas e Correção Corretivas e Corrigidas Corrigidas e Preventivas Corretivas e Preventivas Respondido em 05/05/2020 13:25:34 8a Questão A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Limitação. Recuperação . Correção. Preventiva. Reação. 1a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países. III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. Assinale a opção que contenha apenas afirmações corretas: Apenas III Apenas II Apenas I I, II e III Apenas I e III Respondido em 05/05/2020 13:27:25 Explicação: Todas são verdadeiras 2a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas III Apenas I e III Apenas II e III Apenas I Respondido em 05/05/2020 13:27:31 Explicação: A afirmativa II é falsa 3a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Contábil e Física. Administrativa, Física e Programada. Administrativa, Física e Lógica. Lógica, Física e Programada. Lógica, Administrativa e Contábil. Respondido em 05/05/2020 13:27:44 Gabarito Coment. 4a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentadodentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e II. II. III e IV. I e III. II e III. Respondido em 05/05/2020 13:27:51 Gabarito Coment. 5a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Definir e medir a eficácia dos controles ou grupos de controle selecionados. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Respondido em 05/05/2020 13:27:57 6a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Reação Desencorajamento Correção Preventiva Limitação Respondido em 05/05/2020 13:28:02 7a Questão Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas II e III Apenas I Apenas I e III Apenas III Respondido em 05/05/2020 13:28:06 Explicação: Todas estão corretas 8a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. Respondido em 05/05/2020 13:28:11 1a Questão Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas I Apenas I e III Apenas II e III I, II e III Apenas III Respondido em 05/05/2020 13:42:39 Explicação: Todas estão corretas 2a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Definir e medir a eficácia dos controles ou grupos de controle selecionados. Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Respondido em 05/05/2020 13:42:47 3a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Correção Preventiva Limitação Reação Desencorajamento Respondido em 05/05/2020 13:42:52 4a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados; II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países. III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas II Apenas I Apenas I e III Apenas III Respondido em 05/05/2020 13:42:41 Explicação: Todas são verdadeiras 5a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurançados funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. Respondido em 05/05/2020 13:42:59 6a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. Selecionar objetivos de controle e controles para o tratamento de riscos. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Respondido em 05/05/2020 13:43:04 Gabarito Coment. 7a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Lógica, Física e Programada. Administrativa, Física e Programada. Administrativa, Física e Lógica. Administrativa, Contábil e Física. Lógica, Administrativa e Contábil. Respondido em 05/05/2020 13:43:11 Gabarito Coment. 8a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: III e IV. II e III. II. I e II. I e III. 1a Questão Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares? Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001. Respondido em 05/05/2020 13:29:52 Gabarito Coment. 2a Questão A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança? Gerenciamento das Operações e Comunicações Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Segurança Física e do Ambiente. Controle de Acesso Respondido em 05/05/2020 13:30:00 3a Questão Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação. Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização. A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor. Os riscos residuais são conhecidos antes da comunicação do risco. Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo. Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles. Respondido em 05/05/2020 13:29:54 Gabarito Coment. 4a Questão A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é O equipamento de comunicação A base de dados e arquivos A reputação da organização O plano de continuidade do negócio. O serviço de iluminação Respondido em 05/05/2020 13:30:08 5a Questão Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ? ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27001 ISO/IEC 27003 ISO/IEC 27002 Respondido em 05/05/2020 13:30:12 Gabarito Coment. 6a Questão Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes? Manuais. Procedimentos. Diretrizes. Relatório Estratégico. Normas. Respondido em 05/05/2020 13:30:26 Gabarito Coment. 7a Questão A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança: Segurança em Recursos Humanos. Segurança Física e do Ambiente. Gerenciamento das Operações e Comunicações. Segurança dos Ativos. Controle de Acesso. Respondido em 05/05/2020 13:30:34 Gabarito Coment. 8a Questão Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas. 1) Comitê de segurança da informação. 2) Controle. 3)Funções de software e hardware. 4) Deve ser analisado criticamente. 5) Política. ( ) Controle. ( ) Firewall. ( ) estrutura organizacional. ( ) Permissão de acesso a um servidor. ( ) Ampla divulgação das normas de segurança da informação. A combinação correta entre as duas colunas é: 2-3-1-5-4. 4-3-5-2-1. 1-2-4-3-5. 4-3-1-2-5. 5-1-4-3-2. Respondido em 05/05/2020 13:30:41 1a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Nenhuma das opções anteriores. São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Respondido em 05/05/2020 13:44:25 Explicação: Na fase Check (checar) é realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esse monitoramento dos riscos é muito importante, já que raramente os riscos permaneceram estáticos. Dessa forma, esse processo evitará que ameaças aumentem o nível de riscos. 2a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas. Corretivas e Preventivas. Corrigidas e Preventivas. Corretivas e Corrigidas. Corretivas e Correção. Respondido em 05/05/2020 13:44:37 3a Questão A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise: A avaliação dos riscos e incidentes desejados A realimentação por parte dos envolvidos no SGSI Os resultados das auditorias anteriores e análises críticas Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores A avaliação das ações preventivas e corretivas Respondido em 05/05/2020 13:44:46 Gabarito Coment. 4a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Definir e medir a eficácia dos controles ou grupos de controle selecionados. Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Respondido em 05/05/2020 13:45:08 5a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Selecionar objetivos de controle e controles para o tratamento de riscos. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Respondido em 05/05/2020 13:45:14 Gabarito Coment. 6a Questão Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em: I e III. II. II e III. I e II. III e IV. Respondido em 05/05/2020 13:45:19 Gabarito Coment. 7a Questão Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações? Administrativa, Física e Programada. Administrativa, Física e Lógica. Lógica, Administrativa e Contábil. Lógica, Física e Programada. Administrativa, Contábil e Física. Respondido em 05/05/2020 13:45:25 Gabarito Coment. 8a Questão A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada: implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado. implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI. implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais. implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurançareconhecidas no mercado implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI. Respondido em 05/05/2020 13:45:31 1a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. Assinale a opção que contenha apenas afirmações corretas: I, II e III Apenas I Apenas II e III Apenas III Apenas I e III Respondido em 05/05/2020 13:43:33 Explicação: A afirmativa II é falsa 2a Questão A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem- sucedida, e os incidente de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. Respondido em 05/05/2020 13:43:24 Gabarito Coment. 3a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Respondido em 05/05/2020 13:43:30 Gabarito Coment. 4a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Nenhuma das opções anteriores. Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Respondido em 05/05/2020 13:43:49 Explicação: A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. 5a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Corrigidas Corretivas e Preventivas Prevenção e Preventivas Corretivas e Correção Corrigidas e Preventivas Respondido em 05/05/2020 13:43:44 6a Questão A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Recuperação . Reação. Correção. Limitação. Preventiva. Respondido em 05/05/2020 13:43:49 7a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativo da informação II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação. III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização; Assinale apenas a opção que contenha afirmações corretas: Apenas I e II Apenas II I, II e III Apenas I Apenas II e III Respondido em 05/05/2020 13:43:54 Explicação: Todas estão corretas 8a Questão Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir: A politica de gestão de continuidade de negócio. A abordagem de análise/avaliação das vulnerabilidades da organização. A política do BIA. Identificar e avaliar as opções para o tratamento das vulnerabilidades. Identificar, Analisar e avaliar os riscos. 1a Questão Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificaçãodos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas I Apenas I e III I, II e III Apenas II e III Apenas III Respondido em 05/05/2020 13:45:32 Explicação: Todas estão corretas 2a Questão A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ? Reação Preventiva Correção Desencorajamento Limitação Respondido em 05/05/2020 13:45:54 3a Questão A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Reação. Recuperação . Correção. Preventiva. Limitação. Respondido em 05/05/2020 13:45:42 4a Questão A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem- sucedida, e os incidente de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Respondido em 05/05/2020 13:46:00 Gabarito Coment. 5a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Prevenção e Preventivas Corretivas e Corrigidas Corretivas e Correção Corrigidas e Preventivas Corretivas e Preventivas Respondido em 05/05/2020 13:46:06 6a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Respondido em 05/05/2020 13:46:12 Gabarito Coment. 7a Questão A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo: I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação. III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. Assinale a opção que contenha apenas afirmações corretas: Apenas I I, II e III Apenas III Apenas I e III Apenas II e III Respondido em 05/05/2020 13:46:03 Explicação: A afirmativa II é falsa 8a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa: Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Nenhuma das opções anteriores. Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. 1a Questão A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas. Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI. Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação. Nenhuma das opções anteriores. É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores. Respondido em 05/05/2020 13:47:04 Explicação: Na fase Check (checar) é realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esse monitoramento dos riscos é muito importante, já que raramente os riscos permaneceram estáticos. Dessa forma, esse processo evitará que ameaças aumentem o nível de riscos. 2a Questão O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utilizao modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do: A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI. A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Selecionar objetivos de controle e controles para o tratamento de riscos. Respondido em 05/05/2020 13:47:15 Gabarito Coment. 3a Questão Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de: Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações. Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis. Definir e medir a eficácia dos controles ou grupos de controle selecionados. Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização. Respondido em 05/05/2020 13:47:27 4a Questão A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ? Preventiva. Correção. Limitação. Reação. Recuperação . Respondido em 05/05/2020 13:47:31 5a Questão Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos? I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos. II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos; III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados. Assinale a opção que contenha apenas afirmações corretas: Apenas I Apenas I e III Apenas II e III I, II e III Apenas III Respondido em 05/05/2020 13:47:19 Explicação: Todas estão corretas 6a Questão A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é: A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem- sucedida, e os incidente de segurança da informação. O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI. A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões. Respondido em 05/05/2020 13:47:40 Gabarito Coment. 7a Questão A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações: Corretivas e Preventivas Prevenção e Preventivas Corretivas e Correção Corrigidas e Preventivas Corretivas e Corrigidas Respondido em 05/05/2020 13:47:49 8a Questão Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
Compartilhar