GESTÃO DE SEGURANÇA DA INFORMAÇÃO - Aulas 07 e 08

Prévia do material em texto

GESTÃO DE SEGURANÇADA INFORMAÇÃO
AULA 07
		1
          Questão
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são especificados no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes?
		
	
	Procedimentos.
	
	Relatório Estratégico.
	
	Manuais.
	
	Diretrizes.
	 
	Normas.
		2
          Questão
	
	
	Qual das opções abaixo apresenta a Norma referente a gestão de Risco dentro da Família ISO/IEC 27000 ?
		
	
	ISO/IEC 27002
	
	ISO/IEC 27001
	
	ISO/IEC 27003
	
	ISO/IEC 27004
	 
	ISO/IEC 27005
		3
          Questão
	
	
	Segundo a norma ABNT NBR 27002 é essencial que a organização identifique os requisitos de segurança da informação. Assinale a opção correta.
		
	 
	Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise de riscos uma delas.
	
	A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.
	
	A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.
	
	No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.
	
	Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.
		4
          Questão
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização não deve permitir a interrupção das atividades do negócio e deve proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil. Neste caso a NBR ISO/IEC 27002 está fazendo referência a que tipo de ação de Segurança?
		
	
	Controle de Acesso
	 
	Gestão da Continuidade do Negócio
	
	Gerenciamento das Operações e Comunicações
	
	Segurança Física e do Ambiente.
	
	Gestão de Incidentes de Segurança da Informação
		5
          Questão
	
	
	Segundo a NBR ISO/IEC 27002 (antiga 17799), a segurança da informação visa proteger os ativos de informação de diversos tipos de ameaças para garantir a continuidade dos negócios, minimizar os danos e maximizar o retorno dos investimentos. Para isso a segurança da informação pode ser caracterizada por três princípios básicos:
		
	
	Flexibilidade, agilidade e conformidade
	 
	Integridade, confidencialidade e disponibilidade
	
	Integridade, prevenção e proteção
	
	Autenticidade, originalidade e abrangência
	
	Prevenção, proteção e reação
		6
          Questão
	
	
	Segundo os fundamentos da norma ISO/IEC 27002/2005 analise as afirmativas e associe as colunas.
1) Comitê de segurança da informação.
2) Controle.
3) Funções de software e hardware.
4) Deve ser analisado criticamente.
5) Política.
( ) Controle.
( ) Firewall.
( ) estrutura organizacional.
( ) Permissão de acesso a um servidor.
( ) Ampla divulgação das normas de segurança da informação.
A combinação correta entre as duas colunas é:
		
	
	5-1-4-3-2.
	 
	4-3-1-2-5.
	
	2-3-1-5-4.
	
	4-3-5-2-1.
	
	1-2-4-3-5.
		7
          Questão
	
	
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
		
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	 
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
		8
          Questão
	
	
	Com relação à estrutura, objetivos e conceitos gerais da NBR ISO/IEC 27000 é correto afirmar:
		
	 
	Apresentar a descrição, vocabulário e correspondência entre a família de normas que tratam de um Sistema de Gestão de Segurança da Informação (SGSI), proporcionando os fundamentos sobre os quais toda a família está baseada e se integra.
	
	A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.
	
	Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.
	
	Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
	
	Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.
	
		1
          Questão
	
	
	Porque as organizações devem realizar auditorias internas do SGSI em intervalos regulares?
		
	
	Para determinar se os objetivos de risco, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de riscos, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	 
	Para determinar se os objetivos de controle, processos e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de controle, processos e incidentes atendem aos requisitos da norma NBR ISO/IEC 27001.
	
	Para determinar se os objetivos de ameaças, vulnerabilidades e procedimentos atendem aos requisitos da norma NBR ISO/IEC 27001.
		2
          Questão
	
	
	A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002 tem como objetivo apresentar recomendações para:
		
	
	Não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso
	
	Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
	 
	Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil
	
	Resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.
	
	Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil
	Respondido em 31/05/2021 11:49:14
	Explicação: O principal objetivo da ISO 27002 é estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.
		3
          Questão
	
	
	Em relação as normas, analise as afirmações abaixo:
I-Uma norma pode ser definida como um documento que possui uma descrição técnica e precisa de critérios a serem seguidos por todos da empresa
II-As normas possuem como objetivo elevar o nível de confiabilidade dos produtos e serviços que são fornecidos por uma organização.
III-A norma tem a capacidade de apoiar os processos de inovação, porém dependedo tamanho da organização. 
Assinale apenas a opção com afirmações corretas:
		
	
	I, II e III
	
	Apenas III
	
	Apenas I
	 
	Apenas I e II
	
	Apenas I e III
		4
          Questão
	
	
	Marque a alternativa que NÃO representa uma alternativa a mitigação de risco:
		
	
	Transferência de risco
	 
	Aceitação de risco
	
	Prevenção de risco
	
	Suposição de risco
	
	Limitação de risco
		5
          Questão
	
	
	Segundo a NBR ISO/IEC 27002 a política de segurança pode ser parte de um documento da política geral. Normalmente o documento de política geral é dividido em vários documentos. Qual das opções abaixo apresenta um conjunto típico destes documentos?
		
	
	Manuais; Normas e Procedimentos
	 
	Diretrizes; Normas e Procedimentos
	
	Manuais; Normas e Relatórios
	
	Diretrizes; Normas e Relatórios
	
	Diretrizes; Manuais e Procedimentos
		6
          Questão
	
	
	Qual das opções abaixo apresenta o documento integrante da Política de Segurança da Informação onde são definidas as regras de alto nível que representam os princípios básicos que a organização resolveu incorporar à sua gestão de acordo com a visão estratégica da alta direção?
		
	
	Normas.
	
	Manuais.
	 
	Diretrizes.
	
	Relatório Estratégico.
	
	Procedimentos.
		7
          Questão
	
	
	A norma NBR ISO/IEC 27002 orienta que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Neste caso a NBR ISO/IEC 27002 está fazendo referencia a que tipo de ação de Segurança:
		
	
	Controle de Acesso.
	 
	Segurança Física e do Ambiente.
	
	Segurança dos Ativos.
	
	Gerenciamento das Operações e Comunicações.
	
	Segurança em Recursos Humanos.
		8
          Questão
	
	
	Certificações de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
		1
          Questão
	
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
		2
          Questão
	
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é:
		
	
	A base de dados e arquivos
	 
	A reputação da organização
	
	O plano de continuidade do negócio.
	
	O serviço de iluminação
	
	O equipamento de comunicação
		3
          Questão
	
	
	Com relação à NBR 27005, assinale a opção correta, no que se refere à gestão de riscos de segurança da informação.
		
	
	Qualquer atividade de comunicação do risco de segurança da informação deve ocorrer apenas após a aceitação do plano de tratamento do risco pelos gestores da organização.
	 
	A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.
	
	Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.
	
	Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.
	
	Os riscos residuais são conhecidos antes da comunicação do risco.
		4
          Questão
	
	
	O grande objetivo da norma NBR ISO/IEC 27002  é estabelecer diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão de segurança de informação em uma empresa. Analise as afirmativas abaixo:
I-A norma NBR ISO/IEC 27002 deve ser aplicada a todos os tipos de organizações seja, por exemplo, empreendimentos comerciais, agências governamentais ou mesmo organizações sem fins lucrativos.
II-A norma especifica os requisitos para implementação de controles de segurança adaptados as particularidades de cada organização.
III-A norma NBR ISO/IEC 27002 poderá ser consultada por você como um guia prático, que o auxiliará a desenvolver os procedimentos de segurança da informação da empresa e as práticas mais eficazes de gestão de segurança.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas I
	 
	I, II e III
	
	Apenas III
	
	Apenas I e III
	
	Apenas I e II
		5
          Questão
	
	
	Quando devem ser executadas as ações corretivas?
		
	
	Devem ser executadas para garantir as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	
	Devem ser executadas para garantir as causas da conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	
	Devem ser executadas somente para eliminar o resultado da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	 
	Devem ser executadas para eliminar as causas da não-conformidade com os requisitos do SGSI de forma a evitar a sua repetição
	
	Devem ser executadas para eliminar todas conformidades com os requisitos do SGSI de forma a evitar a sua repetição
		6
          Questão
	
	
	Para realizar o login da rede da sua empresa, Pedro necessita digitar além do usuário, também a sua senha como forma de validação do usuário digitado. Neste caso Pedro está utilizado qual propriedade de segurança?
		
	 
	Autenticidade;
	
	Auditoria;
	
	Integridade;
	
	Confidencialidade;
	
	Não-Repúdio;
		7
          Questão
	
	
	A Norma NBR ISO/IEC 27002 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é
		
	
	O plano de continuidade do negócio.
	
	O equipamento de comunicação
	 
	A reputação da organização
	
	A base de dados e arquivos
	
	O serviço de iluminação
		8
          Questão
	
	
	A norma NBR ISO/IEC 27002 é um Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo ¿estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização¿. Ela se baseia no tripé: Análise de Risco, Requisitos do Negócio e Requisitos Legais. Podemos definir como Requisitos do Negócio:
		
	
	Uma orientação de como a organização deve proceder para estabelecer a política de segurança da informação.
	
	Determina que a organização deve prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.
	 
	É o conjunto de princípios e objetivos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
	
	São a Legislação vigente, estatutos, regulamentação e cláusulas contratuais que a organização,seus parceiros comerciais, contratados e provedores de serviço tem que atender.
	
	A orientação da organização para assegurar que funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis de forma a reduzir o risco de furto ou roubo, fraude ou mau uso dos recursos.
AULA 08
	
		1
          Questão
	
	
	O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	 
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
		2
          Questão
	
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
		3
          Questão
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativo da informação
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas:
		
	
	Apenas I e II
	
	Apenas II
	 
	I, II e III
	
	Apenas I
	
	Apenas II e III
		4
          Questão
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Corretivas e Corrigidas
	
	Prevenção e Preventivas
	
	Corretivas e Correção
	
	Corrigidas e Preventivas
	 
	Corretivas e Preventivas
		5
          Questão
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los
II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação.
III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos. 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	I, II e III
	
	Apenas II e III
	
	Apenas III
	
	Apenas I 
	 
	Apenas I e III
		6
          Questão
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização.
 Assinale a opção que contenha apenas afirmações corretas:
		
	 
	I, II e III
	
	Apenas III
	
	Apenas II
	
	Apenas I
	
	Apenas I e III
		7
          Questão
	
	
	A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
		
	 
	implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de segurança reconhecidas no mercado
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas de maior porte reconhecidas no mercado.
	
	implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de TI.
	
	implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos funcionários e padrões comerciais.
	
	implementou um sistema para gerência da segurança da informação de acordo fundamentado nos desejos de segurança dos Gerentes de TI.
		8
          Questão
	
	
	A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser considerada como um elemento para a realização desta análise:
		
	
	A avaliação das ações preventivas e corretivas
	
	Os resultados das auditorias anteriores e análises críticas
	
	Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
	 
	A avaliação dos riscos e incidentes desejados
	
	A realimentação por parte dos envolvidos no SGSI
		1
          Questão
	
	
	A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de proteção ?
		
	
	Correção.
	
	Limitação.
	 
	Preventiva.
	
	Recuperação .
	
	Reação.
		2
          Questão
	
	
	Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI), é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestruturae negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente definir:
		
	
	A abordagem de análise/avaliação das vulnerabilidades da organização.
	
	A política do BIA.
	 
	Identificar, Analisar e avaliar os riscos.
	
	Identificar e avaliar as opções para o tratamento das vulnerabilidades.
	
	A politica de gestão de continuidade de negócio.
		3
          Questão
	
	
	A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
		
	
	Esta etapa implementa através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	Nenhuma das opções anteriores.
	 
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	
	Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
	
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	Respondido em 31/05/2021 11:50:56
	Explicação: A primeira etapa do PDCA é o Plan (planejamento), que estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
		4
          Questão
	
	
	A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente para os problemas.
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa:
		
	
	São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
	
	Nenhuma das opções anteriores.
	 
	É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos.
	
	Nesta etapa implementa-se através de programas de conscientização e treinamento para os funcionários em relação as operações e recursos do SGSI.
	
	Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
	Respondido em 31/05/2021 11:51:00
	
Explicação: Na fase Check (checar) é realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança estabelecidos. Esse monitoramento dos riscos é muito importante, já que raramente os riscos permaneceram estáticos. Dessa forma, esse processo evitará que ameaças aumentem o nível de riscos.
		5
          Questão
	
	
	Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às organizações?
		
	
	Administrativa, Contábil e Física.
	
	Lógica, Administrativa e Contábil.
	
	Lógica, Física e Programada.
	 
	Administrativa, Física e Lógica.
	
	Administrativa, Física e Programada.
		6
          Questão
	
	
	A empresa XPTO optou como forma de complementar seu projeto de Segurança da Informação, a instalação de camêras de vídeo, sendo algumas falsas, e a utilização de avisos da existência de alarmes, neste caso qual o tipo de proteção que está sendo utilizada ?
		
	
	Reação
	
	Limitação
	 
	Desencorajamento
	
	Correção
	
	Preventiva
		7
          Questão
	
	
	A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de ações:
		
	
	Corrigidas e Preventivas.
	
	Corretivas e Corrigidas.
	
	Prevenção e Preventivas.
	
	Corretivas e Correção.
	 
	Corretivas e Preventivas.
		8
          Questão
	
	
	A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase "Plan" é:
		
	
	Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
	
	Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da informação.
	
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	 
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	
		1
          Questão
	
	
	Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 27001 em qualquer organização:
		
	
	Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
	 
	Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria do SGSI
	
	Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
	
	Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
	
	Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
		2
          Questão
	
	
	Realizar a certificação do SGSI pela ISO/IEC 27001 proporciona muitos benefícios para as empresas. Qual do beneficios abaixo são promovidos?
I-Demonstração e garantia de que os requisitos de governança corporativa e de continuidade do negócio estejam sendo atendidos.
II-Demonstrar que as normas e os regulamentos aplicáveis estão sendo conduzidos;
III-Promover a avaliação e identificação dos riscos organizacionais. Essa análise vai permitir entender se os riscos estão sendo gerenciados de forma correta. Dessa forma, será possível que os documentos dos processos de segurança da informação sejam formalizados.
 Assinale a opção que contenha apenas afirmações corretas:
		
	 
	I, II e III
	
	Apenas I
	
	Apenas I e III
	
	Apenas II e III
	
	Apenas III
		3
          Questão
	
	
	Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos paraestabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
		
	
	III e IV.
	
	I e II.
	
	I e III.
	
	II.
	 
	II e III.
		4
          Questão
	
	
	Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a atividade de:
		
	 
	Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de negócio da organização.
	
	Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
	
	Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
	
	Definir e medir a eficácia dos controles ou grupos de controle selecionados.
	
	Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
		5
          Questão
	
	
	O SGSI torna-se pré-requisito à ser implementado em ambientes corporativos, educacionais, industriais, governamentais e qualquer outro que tenha por objetivo resguardar ambientes que criam, manipulam ou destroem informações relevantes. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente). Pois a Segurança da Informação (SI) é norteada por boas práticas, mudança de hábitos e cultura e não apenas definidas por bons softwares e ferramentas de apoio. O SGSI utiliza o modelo Plan-Do-Check-Act. Podemos dizer que a empresa deve implementar na etapa Do:
		
	
	A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.
	
	A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento e identificar os incidentes de segurança da informação.
	
	O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
	 
	A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas.
	
	Selecionar objetivos de controle e controles para o tratamento de riscos.
		6
          Questão
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é uma declaração da empresa em relação ao seu compromisso com a proteção dos ativo da informação
II-inclui a estruturação necessária para definir objetivos e estabelecer a orientação global e os princípios para atividades que envolvam a segurança da informação.
III-Identifica as obrigações dos contratos de segurança, regulamentações e os requisitos da organização;
Assinale apenas a opção que contenha afirmações corretas:
		
	
	Apenas I
	
	Apenas II
	
	Apenas II e III
	 
	I, II e III
	
	Apenas I e II
		7
          Questão
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI), que é baseado nos riscos da organização.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	 
	I, II e III
	
	Apenas II
	
	Apenas III
	
	Apenas I
	
	Apenas I e III
		8
          Questão
	
	
	A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim implantar controles para minimizá-los
II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de gestão de segurança da informação.
III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de monitoramento e controles, que envolvam recursos tecnológicos e humanos.
 
Assinale a opção que contenha apenas afirmações corretas:
		
	
	Apenas I 
	
	I, II e III
	
	Apenas III
	
	Apenas II e III
	 
	Apenas I e III