Baixe o app para aproveitar ainda mais
Prévia do material em texto
CONFORMIDADE COM NORMAS E REGUL. EXTERNAS 1) Documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados: a) Norma c) Regulamento e) Diretriz b) Procedimento d) Lei Resposta: A - As normas são documentos estabelecidos por consenso e aprovado por um organismo reconhecido (ISO,ABNT,IETF, IEEE) que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados. 2) _____________________ é uma exigência imposta pelo governo que especifica características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade é a) Um regulamento c) Uma norma e) Uma diretriz b) Uma auditoria d) Um procedimento Resposta: A - São exemplos de regulamentos: SOX, HIPAA, FISMA. 3) Regulamentação que visa à proteção da privacidade da informação de pacientes: a) SOX c) FISMA e) NIST b) HIPAA d) Acordo de Basiléia Resposta: B - Para atender aos requisitos da HIPAA, as empresas devem proteger as informações de ameaças razoavelmente previsíveis proporcionando segurança e integridade, e evitando o uso ou divulgação não autorizado dessas informações. 4) Regulamentação onde são discutidas questões relacionadas à indústria bancária, visando a melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional: a) SOX c) FISMA e) NIST b) HIPAA d) Acordo de Basiléia Resposta: D - O acordo de Basiléia foi o produto resultante do Comitê de Supervisão Bancária da Basileia (Basel Committee on Banking Supervision – BCBS) que funciona como um fórum mundial para discussão e cooperação em matéria de regulação bancária prudencial; seu objetivo consiste em reforçar a regulação, a supervisão e as melhores práticas no mercado financeiro. 5) Norma que tem como principal objetivo estabelece orientações para Gestão de Riscos: a) ISO 27001 c) ISO 27002 e) ISO 27005 b) ISO 27033 d) ISO 27799 Resposta: E - A gestão de risco é parte estruturante da implementação da segurança da informação nas organizações. 6) Norma que tem como principal objetivo estabelecer, implementar e operar uma Sistema de gestão de Segurança da Informação (SGSI): a) ISO 27001 c) ISO 27002 e) ISO 27005 b) ISO 27006 d) ISO 27004 Resposta: A - A gestão de risco é parte estruturante da implementação da segurança da informação nas organizações. 7) Norma que tem como objetivo fornecer diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles: a) ISO 27001 c) ISO 27002 e) ISO 27005 b) ISO 27006 d) ISO 27004 Resposta: C - A norma ISO 27002 é o código de melhores práticas para a gestão de segurança da informação. 8) Norma que fornece orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização. a) ISO 27009 c) ISO 27011 e) ISO 27033 b) ISO 27014 d) ISO 27799 Resposta: B - Os objetivos da governança da segurança da informação (GSI), são: alinhar os objetivos e a estratégia da Segurança da Informação com os objetivos e estratégia do negócio da organização, agregar valor para a alta direção e para as partes interessadas (entrega de valor) e garantir que os riscos da informação estão sendo adequadamente endereçados para as pessoas responsáveis. 9) Quando uma empresa, seja ela americana ou estrangeira, deve obrigatoriamente utilizar a lei Sarbane-Oxley? a) Quando tem ações registradas nas bolsas de valores dos EUA. b) Quando necessita implementar um sistema de gestão de segurança da informação. c) Quando tem implementado e-commerce. d) Quando necessita realizar uma auditoria de seus processos de trabalho. e) Quando deseja aumentar a segurança de seus dados Resposta: A - Qualquer empresa que tenha ações na bolsa de valores dos EUA obrigatoriamente devem implementar a Lei de SOX. 10) Qual seção determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros? a) 404 c) 204 e) 304 b) 302 d) 103 Resposta: A - As seções 401, 402, 406, 409 tratam do aprimoramento das divulgações financeira. 11) Qual a seção que determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período, apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos? a) 404 c) 204 e) 304 b) 302 d) 103 Resposta: B - As seções 301, 302, 303, 305 e 307 tratam das responsabilidades da empresa. 12) Seção que define o Código de ética para os administradores, alta gerência e gerência: a) 404 c) 204 e) 304 b) 406 d) 103 Resposta: B - As seções 401, 402, 406, 409 tratam do aprimoramento das divulgações financeira. 13) Boa prática utilizada para mitigar a fraude nos dados dos cartões de crédito e patrocinada por bancos e bandeiras de cartão de crédito (Mastercard, por exemplo): a) PCI-DSS. c) PCS. e) HIPAA. b) SOX. d) COSO. Resposta: A - Bancos e operadoras de cartão de crédito (Visa, Mastercard e American Express, entre outras) criaram um conselho para criar e recomendar melhores práticas de segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartão de crédito como forma de pagamento. O resultado deste trabalho foi a criação do Payment Card Industry (PCI) – Data Security standard (DSS). 14) É requerimento da categoria denominada “ Manter um Programa de Gerenciamento de Vulnerabilidades”: a) Desenvolver e manter sistemas e aplicativos seguros. b) Manter uma política que aborde a segurança da informação. c) Restringir o acesso físico aos dados do portador do cartão. d) Proteger os dados armazenados do portador de cartão. e) Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. Resposta: A - O requerimento 5, usar e atualizar regularmente o software de antivírus e o requerimento 6, desenvolver e manter sistemas e aplicativos seguros fazem parte da Categoria: Manter um Programa de Gerenciamento de Vulnerabilidades. 15) É requerimento da categoria “ Implementar medidas de controle de acesso rigorosas”: a) Desenvolver e manter sistemas e aplicativos seguros. b) Manter uma política que aborde a segurança da informação. c) Restringir o acesso físico aos dados do portador do cartão. d) Proteger os dados armazenados do portador de cartão. e) Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. Resposta: C - O requerimento 5, usar e atualizar regularmente o software de antivírus e o requerimento 6, desenvolver e manter sistemas e aplicativos seguros fazem parte da Categoria: Manter um Programa de Gerenciamento de Vulnerabilidades. 16) É requerimento da categoria “ Construir e manter uma rede segura”: a) Desenvolver e manter sistemas e aplicativos seguros. b) Manter uma política que aborde a segurança da informação. c) Restringir o acesso físico aos dados do portador do cartão. d) Proteger os dados armazenados do portador de cartão. e) Instalar e manter uma configuração de firewall para proteger os dados do portador do cartão. Resposta: E - O requerimento 1, instalar e manter uma configuração de firewall para proteger os dados do portador do cartão e o requerimento 2, instalar e manter uma configuração de firewall para proteger os dados do portador de cartão, fazemparte da Categoria: Construir e manter uma rede segura. 17) Norma que trata da implementação operacionalização, monitoração, revisão, manutenção e melhoria de um SGSI: a) ISO 27001. c) ISO 27003. e) ISO 27005. b) ISO 27002. d) ISO 27004. Resposta: A - A implementação de um sistema de gestão da segurança da informação é realizada através da norma ISO 27001. 18) Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de segurança da informação: a) PDCA. c) CMMI. e) 3W5H b) HIPAA. d) SISP. Resposta: A - A auditoria não faz parte do ciclo de vida da informação. 19) Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização: a) Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI. b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. c) Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI. d) Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação. e) Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco. Resposta: A - Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes para a implementação de um sistema de gestão em empresas de qualquer tamanho. 20) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de segurança da informação? a) Suporte Técnico. c) Segregação de funções. e) Procedimentos elaborados. b) Auditoria. d) Conscientização dos usuários. Resposta: D - Sem a conscientização dos usuários as ações de segurança da informação podem não alcançar os objetivos pretendido, pois será necessária a compreensão de todos nas ações de segurança na organização. 21) Segundo a Norma ISO/IEC 27002, é essencial que a organização identifique os requisitos de segurança da informação, através de três fontes principais: a) Requisitos de negócio, Análise de risco, Requisitos legais. b) Classificação da informação, requisitos de negócio e análise de risco. c) Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. d) Análise de risco, análise do impacto de negócio (BIA), classificação da informação. e) Análise de vulnerabilidades, requisitos legais e classificação da informação. Resposta: A - A organização precisa conhecer seu negócio, suas necessidades e suas obrigações legais para compreender suas necessidades de segurança. 22) A segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos, segundo a NBR ISO/IEC 27002 , estes três princípios básicos podem ser caracterizado por: a) Flexibilidade, agilidade e conformidade. b) Autenticidade, originalidade e abrangência. c) Prevenção, proteção e reação. d) Integridade, confidencialidade e disponibilidade. e) Integridade, prevenção e proteção. Resposta: D - A integridade, confidencialidade e disponibilidade são os pilares da segurança da informação. 23) Segundo a norma ISO 27002, qual o propósito do gerenciamento de risco? a) Determinar a probabilidade de que certo risco ocorrerá. b) Propiciar a conscientização dos usuários em risco. c) Determinar os danos causados por possíveis incidentes de segurança. d) Utilizar medidas para reduzir os riscos para um nível aceitável. e) Aplicar medidas para reduzir os riscos para um nível aceitável. Resposta: A - A partir do conhecimento da probabilidade de ocorrência de um risco ocorrer e da medição do impacto destas ocorrências é que as organizações poderão determinar quais ações implementar. 24) Sobre a norma ISO 27002, é correto afirmar: a) Só se aplica a grandes empresas. b) É um código de boas práticas de gestão de risco. c) Tem como objetivo implementar um sistema de gestão em SI. d) É um código de boas práticas para a gestão de segurança da informação. e) Utiliza a confiabilidade, a integridade e a disponibilidade como os pilares da SI. Resposta: D - É um código de boas práticas para a gestão de segurança da informação e é complementado pelas demais normas da família 27K. 25) Ação fundamental e considerada o ponto de partida para a implementação do Compliance nas organizações: a) Conscientização da organização em SI. d) Auditoria periódica. b) Análise de risco. e) Continuidade de negócio. c) Classificação da informação. Resposta: B - O diagnóstico de risco é o ponto de partida para as organizações, pois será a desta análise a implantação de controles internos para o monitoramento e gerenciamento desses riscos. 26) Uma ferramenta importante para a implantação do Compliance nas organizações é - _____________________ que deve conter regras claras, concisas e acessíveis sobre o relacionamento entre as partes da sua organização, formalizando o comportamento esperado das diversas partes envolvidas no negócio. a) A Política de classificação da informação. d) O Acordo de sigilo. b) O Procedimento de segurança. e) O Sistema de gestão em SI. c) O Código de conduta ética. Resposta: D - O Código de Conduta Ética deve contemplar regras específicas quanto a recebimento de presentes, doações, brindes, patrocínios, etc., para evitar que relações se construam e permitam o favorecimento de fornecedores ou terceiros. 27) Figura fundamental para a manutenção do Compliance nas organizações e que tem como responsabilidades: a definição das necessidades de normas e políticas internas, atender a legislação e regulamentação, além de zelar pelo cumprimento das diretrizes estabelecidas. a) Analista de segurança. c) Analista de risco. e) Analista de governança. b) Auditor Líder. d) Analista de conformidade. Resposta: D - A função de Compliance é peça fundamental para ocontrole efetivo dos riscos nas organizações para o cumprimento de normas internas e externas. 28) Uma ação muito importante para o sucesso de implementação do Compliance nas organizações, é o apoio ___________________ e a inclusão _____________________________. a) Área de TI e política de segurança. d) Toda organização e cultura organizacional. b) Alta gestão e cultura organizacional. e) Alta gestão e política de segurança. c) Área de negócio e análise de risco. Resposta: B - É necessário que a conscientização da necessidade de se adequar as normas seja iniciada e seguida pela alta administração da empresa, tornando o conceito permeável em toda a organização. 29) O GRC é a integração no âmbito organizacional de três grandes ações: a) Gestão, risco e conformidade. b) Gerência, risco e conformidade. c) Governança, gestão de risco e compliance. d) Gestão de TI, Risco de TI e conformidade de TI. e) Governança corporativa, risco de TI e conformidade. Resposta: C - Falhas nas áreas de Governança, Gestão de Riscos e Conformidade podem comprometer o valor de mercado e o lucro das empresas. 30) Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve seguir: a) Governança. c) Compliance. e) Análise de risco. b) Gestão. d) Conformidade. Resposta: A - A governança (corporativa e de TI), visam criar um melhor entendimento das necessidades das empresas, facilitando a identificação de quais devem ser os objetivos de Tecnologia da Informação e Segurança da Informação para que estas áreas estejam alinhadas aos objetivos da alta gestão. 31) Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócioe para as atividades da instituição ou empresa: a) Governança. c) Compliance. e) Análise de risco. b) Gestão. d) Conformidade. Resposta: C - A conformidade ou compliance tem como principal objetivo auxiliar a organização no cumprimento das normas legais e regulamentares, das políticas e das diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa. 32) Ação fundamental para o GRC e considerada o ponto de partida para a implementação do Compliance nas organizações: a) Conscientização da organização em SI. d) Auditoria periódica. b) Análise de risco. e) Continuidade de negócio. c) Classificação da informação. Resposta: B - O diagnóstico de risco é o ponto de partida para as organizações, pois será a partir desta análise que ocorrerá a implantação de controles internos para o monitoramento e gerenciamento desses riscos.
Compartilhar