CONFORMIDADE COM NORMAS E REGUL - Exercícios - Pós Graduação

Prévia do material em texto

CONFORMIDADE COM NORMAS E REGUL. EXTERNAS 
 
1) Documento estabelecido por consenso e aprovado por um organismo reconhecido que 
fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou 
seus resultados: 
a) Norma c) Regulamento e) Diretriz 
b) Procedimento d) Lei 
Resposta: A - As normas são documentos estabelecidos por consenso e aprovado por um 
organismo reconhecido (ISO,ABNT,IETF, IEEE) que fornece, para uso comum e repetido, 
regras, diretrizes ou características para atividades ou seus resultados. 
 
2) _____________________ é uma exigência imposta pelo governo que especifica 
características do produto, processo ou serviço, inclusive as cláusulas administrativas 
aplicáveis com as quais a conformidade é 
a) Um regulamento c) Uma norma e) Uma diretriz 
b) Uma auditoria d) Um procedimento 
Resposta: A - São exemplos de regulamentos: SOX, HIPAA, FISMA. 
 
3) Regulamentação que visa à proteção da privacidade da informação de pacientes: 
a) SOX c) FISMA e) NIST 
b) HIPAA d) Acordo de Basiléia 
Resposta: B - Para atender aos requisitos da HIPAA, as empresas devem proteger as 
informações de ameaças razoavelmente previsíveis proporcionando segurança e integridade, 
e evitando o uso ou divulgação não autorizado dessas informações. 
 
4) Regulamentação onde são discutidas questões relacionadas à indústria bancária, visando a 
melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário 
internacional: 
a) SOX c) FISMA e) NIST 
b) HIPAA d) Acordo de Basiléia 
Resposta: D - O acordo de Basiléia foi o produto resultante do Comitê de Supervisão Bancária 
da Basileia (Basel Committee on Banking Supervision – BCBS) que funciona como um fórum 
mundial para discussão e cooperação em matéria de regulação bancária prudencial; seu 
objetivo consiste em reforçar a regulação, a supervisão e as melhores práticas no mercado 
financeiro. 
 
5) Norma que tem como principal objetivo estabelece orientações para Gestão de Riscos: 
a) ISO 27001 c) ISO 27002 e) ISO 27005 
b) ISO 27033 d) ISO 27799 
Resposta: E - A gestão de risco é parte estruturante da implementação da segurança da 
informação nas organizações. 
 
6) Norma que tem como principal objetivo estabelecer, implementar e operar uma Sistema de 
gestão de Segurança da Informação (SGSI): 
a) ISO 27001 c) ISO 27002 e) ISO 27005 
b) ISO 27006 d) ISO 27004 
Resposta: A - A gestão de risco é parte estruturante da implementação da segurança da 
informação nas organizações. 
 
7) Norma que tem como objetivo fornecer diretrizes para práticas de gestão de segurança da 
informação e normas de segurança da informação para as organizações, incluindo a seleção, a 
implementação e o gerenciamento de controles: 
a) ISO 27001 c) ISO 27002 e) ISO 27005 
b) ISO 27006 d) ISO 27004 
Resposta: C - A norma ISO 27002 é o código de melhores práticas para a gestão de segurança 
da informação. 
 
8) Norma que fornece orientação sobre conceitos e princípios para a governança de segurança 
da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as 
atividades relacionadas com a segurança da informação dentro da organização. 
a) ISO 27009 c) ISO 27011 e) ISO 27033 
b) ISO 27014 d) ISO 27799 
Resposta: B - Os objetivos da governança da segurança da informação (GSI), são: alinhar os 
objetivos e a estratégia da Segurança da Informação com os objetivos e estratégia do 
negócio da organização, agregar valor para a alta direção e para as partes interessadas 
(entrega de valor) e garantir que os riscos da informação estão sendo adequadamente 
endereçados para as pessoas responsáveis. 
 
9) Quando uma empresa, seja ela americana ou estrangeira, deve obrigatoriamente utilizar a 
lei Sarbane-Oxley? 
a) Quando tem ações registradas nas bolsas de valores dos EUA. 
b) Quando necessita implementar um sistema de gestão de segurança da informação. 
c) Quando tem implementado e-commerce. 
d) Quando necessita realizar uma auditoria de seus processos de trabalho. 
e) Quando deseja aumentar a segurança de seus dados 
Resposta: A - Qualquer empresa que tenha ações na bolsa de valores dos EUA 
obrigatoriamente devem implementar a Lei de SOX. 
 
10) Qual seção determina uma avaliação anual dos controles e procedimentos internos para a 
emissão de relatórios financeiros? 
a) 404 c) 204 e) 304 
b) 302 d) 103 
Resposta: A - As seções 401, 402, 406, 409 tratam do aprimoramento das divulgações 
financeira. 
 
11) Qual a seção que determina a responsabilidade dos diretores das empresas, que devem 
assinar os relatórios certificando que as demonstrações e outras informações financeiras 
incluídas no relatório do período, apresentam todos os fatos materiais e que não contém 
nenhuma declaração falsa ou que fatos materiais tenham sido omitidos? 
a) 404 c) 204 e) 304 
b) 302 d) 103 
Resposta: B - As seções 301, 302, 303, 305 e 307 tratam das responsabilidades da empresa. 
 
12) Seção que define o Código de ética para os administradores, alta gerência e gerência: 
a) 404 c) 204 e) 304 
b) 406 d) 103 
Resposta: B - As seções 401, 402, 406, 409 tratam do aprimoramento das divulgações 
financeira. 
 
13) Boa prática utilizada para mitigar a fraude nos dados dos cartões de crédito e patrocinada 
por bancos e bandeiras de cartão de crédito (Mastercard, por exemplo): 
a) PCI-DSS. c) PCS. e) HIPAA. 
b) SOX. d) COSO. 
Resposta: A - Bancos e operadoras de cartão de crédito (Visa, Mastercard e American 
Express, entre outras) criaram um conselho para criar e recomendar melhores práticas de 
segurança de dados a serem seguidas pelos estabelecimentos comerciais que aceitam cartão 
de crédito como forma de pagamento. O resultado deste trabalho foi a criação 
do Payment Card Industry (PCI) – Data Security standard (DSS). 
 
14) É requerimento da categoria denominada “ Manter um Programa de Gerenciamento de 
Vulnerabilidades”: 
a) Desenvolver e manter sistemas e aplicativos seguros. 
b) Manter uma política que aborde a segurança da informação. 
c) Restringir o acesso físico aos dados do portador do cartão. 
d) Proteger os dados armazenados do portador de cartão. 
e) Instalar e manter uma configuração de firewall para proteger os dados do portador do 
cartão. 
Resposta: A - O requerimento 5, usar e atualizar regularmente o software de antivírus e o 
requerimento 6, desenvolver e manter sistemas e aplicativos seguros fazem parte da 
Categoria: Manter um Programa de Gerenciamento de Vulnerabilidades. 
 
15) É requerimento da categoria “ Implementar medidas de controle de acesso rigorosas”: 
a) Desenvolver e manter sistemas e aplicativos seguros. 
b) Manter uma política que aborde a segurança da informação. 
c) Restringir o acesso físico aos dados do portador do cartão. 
d) Proteger os dados armazenados do portador de cartão. 
e) Instalar e manter uma configuração de firewall para proteger os dados do portador do 
cartão. 
Resposta: C - O requerimento 5, usar e atualizar regularmente o software de antivírus e o 
requerimento 6, desenvolver e manter sistemas e aplicativos seguros fazem parte da 
Categoria: Manter um Programa de Gerenciamento de Vulnerabilidades. 
 
16) É requerimento da categoria “ Construir e manter uma rede segura”: 
a) Desenvolver e manter sistemas e aplicativos seguros. 
b) Manter uma política que aborde a segurança da informação. 
c) Restringir o acesso físico aos dados do portador do cartão. 
d) Proteger os dados armazenados do portador de cartão. 
e) Instalar e manter uma configuração de firewall para proteger os dados do portador do 
cartão. 
Resposta: E - O requerimento 1, instalar e manter uma configuração de firewall para 
proteger os dados do portador do cartão e o requerimento 2, instalar e manter uma 
configuração de firewall para proteger os dados do portador de cartão, fazemparte da 
Categoria: Construir e manter uma rede segura. 
 
17) Norma que trata da implementação operacionalização, monitoração, revisão, manutenção 
e melhoria de um SGSI: 
a) ISO 27001. c) ISO 27003. e) ISO 27005. 
b) ISO 27002. d) ISO 27004. 
Resposta: A - A implementação de um sistema de gestão da segurança da informação é 
realizada através da norma ISO 27001. 
 
18) Técnica utilizada pela norma ISO 27001 para a implementação de um sistema de gestão de 
segurança da informação: 
a) PDCA. c) CMMI. e) 3W5H 
b) HIPAA. d) SISP. 
Resposta: A - A auditoria não faz parte do ciclo de vida da informação. 
 
19) Existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em 
qualquer organização: 
a) Sistema de gestão de segurança da informação, responsabilidade da direção, análise 
crítica do SGSI pela direção e Melhoria do SGSI. 
b) Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas. 
c) Sistema de gestão de segurança da informação, análise de risco, auditorias internas e 
melhoria do SGSI. 
d) Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão 
de segurança da informação. 
e) Sistema de gestão de segurança da informação, classificação da informação, auditoria 
internas e análise de risco. 
Resposta: A - Sistema de gestão de segurança da informação, responsabilidade da direção, 
análise crítica do SGSI pela direção e Melhoria do SGSI são ações essenciais e estruturantes 
para a implementação de um sistema de gestão em empresas de qualquer tamanho. 
 
20) Qual das seguintes opções é considerada a mais crítica para o sucesso de um programa de 
segurança da informação? 
a) Suporte Técnico. c) Segregação de funções. e) Procedimentos elaborados. 
b) Auditoria. d) Conscientização dos usuários. 
Resposta: D - Sem a conscientização dos usuários as ações de segurança da informação 
podem não alcançar os objetivos pretendido, pois será necessária a compreensão de todos 
nas ações de segurança na organização. 
 
21) Segundo a Norma ISO/IEC 27002, é essencial que a organização identifique os requisitos de 
segurança da informação, através de três fontes principais: 
a) Requisitos de negócio, Análise de risco, Requisitos legais. 
b) Classificação da informação, requisitos de negócio e análise de risco. 
c) Requisitos de negócio, análise do impacto de negócio (BIA), requisitos legais. 
d) Análise de risco, análise do impacto de negócio (BIA), classificação da informação. 
e) Análise de vulnerabilidades, requisitos legais e classificação da informação. 
Resposta: A - A organização precisa conhecer seu negócio, suas necessidades e suas 
obrigações legais para compreender suas necessidades de segurança. 
 
22) A segurança da informação visa proteger os ativos de informação de diversos tipos de 
ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno 
dos investimentos, segundo a NBR ISO/IEC 27002 , estes três princípios básicos podem ser 
caracterizado por: 
a) Flexibilidade, agilidade e conformidade. 
b) Autenticidade, originalidade e abrangência. 
c) Prevenção, proteção e reação. 
d) Integridade, confidencialidade e disponibilidade. 
e) Integridade, prevenção e proteção. 
Resposta: D - A integridade, confidencialidade e disponibilidade são os pilares da segurança 
da informação. 
 
23) Segundo a norma ISO 27002, qual o propósito do gerenciamento de risco? 
a) Determinar a probabilidade de que certo risco ocorrerá. 
b) Propiciar a conscientização dos usuários em risco. 
c) Determinar os danos causados por possíveis incidentes de segurança. 
d) Utilizar medidas para reduzir os riscos para um nível aceitável. 
e) Aplicar medidas para reduzir os riscos para um nível aceitável. 
Resposta: A - A partir do conhecimento da probabilidade de ocorrência de um risco ocorrer e 
da medição do impacto destas ocorrências é que as organizações poderão determinar quais 
ações implementar. 
 
24) Sobre a norma ISO 27002, é correto afirmar: 
a) Só se aplica a grandes empresas. 
b) É um código de boas práticas de gestão de risco. 
c) Tem como objetivo implementar um sistema de gestão em SI. 
d) É um código de boas práticas para a gestão de segurança da informação. 
e) Utiliza a confiabilidade, a integridade e a disponibilidade como os pilares da SI. 
Resposta: D - É um código de boas práticas para a gestão de segurança da informação e é 
complementado pelas demais normas da família 27K. 
 
25) Ação fundamental e considerada o ponto de partida para a implementação do Compliance 
nas organizações: 
a) Conscientização da organização em SI. d) Auditoria periódica. 
b) Análise de risco. e) Continuidade de negócio. 
c) Classificação da informação. 
Resposta: B - O diagnóstico de risco é o ponto de partida para as organizações, pois será a 
desta análise a implantação de controles internos para o monitoramento e gerenciamento 
desses riscos. 
 
26) Uma ferramenta importante para a implantação do Compliance nas organizações é -
_____________________ que deve conter regras claras, concisas e acessíveis sobre o 
relacionamento entre as partes da sua organização, formalizando o comportamento esperado 
das diversas partes envolvidas no negócio. 
a) A Política de classificação da informação. d) O Acordo de sigilo. 
b) O Procedimento de segurança. e) O Sistema de gestão em SI. 
c) O Código de conduta ética. 
Resposta: D - O Código de Conduta Ética deve contemplar regras específicas quanto a 
recebimento de presentes, doações, brindes, patrocínios, etc., para evitar que relações se 
construam e permitam o favorecimento de fornecedores ou terceiros. 
 
27) Figura fundamental para a manutenção do Compliance nas organizações e que tem como 
responsabilidades: a definição das necessidades de normas e políticas internas, atender a 
legislação e regulamentação, além de zelar pelo cumprimento das diretrizes estabelecidas. 
a) Analista de segurança. c) Analista de risco. e) Analista de governança. 
b) Auditor Líder. d) Analista de conformidade. 
Resposta: D - A função de Compliance é peça fundamental para ocontrole efetivo dos riscos 
nas organizações para o cumprimento de normas internas e externas. 
 
28) Uma ação muito importante para o sucesso de implementação do Compliance nas 
organizações, é o apoio ___________________ e a inclusão 
_____________________________. 
a) Área de TI e política de segurança. d) Toda organização e cultura organizacional. 
b) Alta gestão e cultura organizacional. e) Alta gestão e política de segurança. 
c) Área de negócio e análise de risco. 
Resposta: B - É necessário que a conscientização da necessidade de se adequar as normas 
seja iniciada e seguida pela alta administração da empresa, tornando o conceito permeável 
em toda a organização. 
 
29) O GRC é a integração no âmbito organizacional de três grandes ações: 
a) Gestão, risco e conformidade. 
b) Gerência, risco e conformidade. 
c) Governança, gestão de risco e compliance. 
d) Gestão de TI, Risco de TI e conformidade de TI. 
e) Governança corporativa, risco de TI e conformidade. 
Resposta: C - Falhas nas áreas de Governança, Gestão de Riscos e Conformidade podem 
comprometer o valor de mercado e o lucro das empresas. 
 
30) Disciplina do GRC que preocupa-se com os caminhos e estratégias que a organização deve 
seguir: 
a) Governança. c) Compliance. e) Análise de risco. 
b) Gestão. d) Conformidade. 
Resposta: A - A governança (corporativa e de TI), visam criar um melhor entendimento das 
necessidades das empresas, facilitando a identificação de quais devem ser os objetivos de 
Tecnologia da Informação e Segurança da Informação para que estas áreas estejam 
alinhadas aos objetivos da alta gestão. 
 
31) Disciplina do GRC que preocupa-se em fazer cumprir as normas legais e regulamentares, as 
políticas e as diretrizes estabelecidas para o negócioe para as atividades da instituição ou 
empresa: 
a) Governança. c) Compliance. e) Análise de risco. 
b) Gestão. d) Conformidade. 
Resposta: C - A conformidade ou compliance tem como principal objetivo auxiliar a 
organização no cumprimento das normas legais e regulamentares, das políticas e das 
diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa. 
 
32) Ação fundamental para o GRC e considerada o ponto de partida para a implementação do 
Compliance nas organizações: 
a) Conscientização da organização em SI. d) Auditoria periódica. 
b) Análise de risco. e) Continuidade de negócio. 
c) Classificação da informação. 
Resposta: B - O diagnóstico de risco é o ponto de partida para as organizações, pois será a 
partir desta análise que ocorrerá a implantação de controles internos para o monitoramento 
e gerenciamento desses riscos.