Teste de Conhecimento VIII Gestão de Segurança da Informação 2021 2

Prévia do material em texto

Teste de Conhecimento VIII Gestão de Segurança da Informação 2021.2 
 
1. Segundo os conceitos de Segurança da Informação as proteções são 
medidas que visam livrar os ativos de situações que possam trazer 
prejuízo. Neste contexto qual das opções abaixo apresenta os tipos 
proteção possíveis de serem aplicadas às organizações? 
 
 
Lógica, Física e Programada. 
 
Administrativa, Contábil e Física. 
 Administrativa, Física e Lógica. 
 
Lógica, Administrativa e Contábil. 
 
Administrativa, Física e Programada. 
 
2. A organização deve executar ações para melhorar continuamente a 
eficácia do SGSI. Estas ações ocorrem através: do uso da política de 
segurança, dos objetivos de segurança, resultados de auditorias, da 
análise dos eventos monitorados e através de ações: 
 
 
Corrigidas e Preventivas. 
 
Corretivas e Corrigidas. 
 
Corretivas e Correção. 
 
Prevenção e Preventivas. 
 Corretivas e Preventivas. 
 
3. A organização deve analisar criticamente seu SGSI em intervalos 
planejados para assegurar a sua contínua pertinência, adequação, 
eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual 
das opções abaixo. Não poderá ser considerada como um elemento 
para a realização desta análise: 
 
 
A avaliação das ações preventivas e corretivas 
 
Os resultados das auditorias anteriores e análises críticas 
 A avaliação dos riscos e incidentes desejados 
 
Vulnerabilidades ou ameaças não contempladas adequadamente nas 
análise/avaliações de risco anteriores 
 
A realimentação por parte dos envolvidos no SGSI 
 
4. A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, 
Act) a fim de estruturar todos os processos envolvidos em um sistema 
de gestão da segurança da informação. O ciclo PDCA é uma ferramenta 
de gestão que promove uma melhora nos processos da organização e 
uma solução eficiente para os problemas. 
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa: 
 
 É realizado o monitoramento e avaliação do sistema SGSI a fim de 
analisar a eficácia dos controles e políticas de segurança estabelecidos. 
 
Nenhuma das opções anteriores. 
 
Estabelece uma política, metas e processos de um sistema de gestão da 
segurança da informação. Esta etapa deve definir os critérios para a 
aceitação dos riscos e qual nível de aceitação. 
 
São colocadas em prática as ações corretivas e preventivas que foram 
identificadas nas etapas anteriores. 
 
Nesta etapa implementa-se através de programas de conscientização e 
treinamento para os funcionários em relação as operações e recursos 
do SGSI. 
 
5. A norma ISO/IEC 27001 aborda de forma sistemática a proteção e 
gestão da segurança da informação das organizações. Nessa norma é 
apresentado os requisitos necessários que uma organização 
necessitará na estruturação de seu sistema de gestão da segurança da 
informação. Sobre essa norma analise as afirmativas abaixo: 
I-A norma ISO/IEC 27001 aborda a política de segurança da informação que é 
uma declaração da empresa em relação ao seu compromisso com a proteção 
dos ativo da informação 
II-inclui a estruturação necessária para definir objetivos e estabelecer a 
orientação global e os princípios para atividades que envolvam a segurança da 
informação. 
III-Identifica as obrigações dos contratos de segurança, regulamentações e os 
requisitos da organização; 
Assinale apenas a opção que contenha afirmações corretas: 
 
 
Apenas I e II 
 I, II e III 
 
Apenas II 
 
Apenas II e III 
 
Apenas I 
 
6. A empresa XPTO optou como forma de complementar seu projeto de 
Segurança da Informação, a instalação de camêras de vídeo, sendo 
algumas falsas, e a utilização de avisos da existência de alarmes, neste 
caso qual o tipo de proteção que está sendo utilizada ? 
 
 Desencorajamento 
 
Reação 
 
Limitação 
 
Correção 
 
Preventiva 
 
7. Independente do tamanho, da natureza e do tipo da organização, os 
requisitos definidos pela norma são genéricos e podem ser aplicados a 
todas as organizações. Entretanto existem quatro itens que são 
obrigatórios de implementação da norma ISO/IEC 27001 em qualquer 
organização: 
 
 
Responsabilidade da direção, auditorias internas, controle de registros, 
sistema de gestão de segurança da informação. 
 
Sistema de gestão de segurança da informação, análise de risco, 
auditorias internas e melhoria do SGSI 
 Sistema de gestão de segurança da informação, responsabilidade da 
direção, análise crítica do SGSI pela direção e Melhoria do SGSI 
 
Sistema de gestão de segurança da informação, classificação da 
informação, auditoria internas e análise de risco. 
 
Controle de registros, responsabilidade da direção, melhoria do SGSI e 
auditorias internas 
 
8. A norma ISO 27001:2005 adota uma abordagem de processo para o 
estabelecimento e relacionamento com o SGSI, ou seja, a aplicação de 
um sistema de processos, a identificação e iterações destes processos, 
e a sua gestão e utiliza como modelo o Plan-Do-Check-Act (PDCA), 
aplicado para estruturar todos os processos do SGSI. Podemos dizer 
que uma das características da fase "Plan" é: 
 
 
Os procedimentos de análise críticas da eficácia do SGSI, devem levar 
em consideração os resultados das auditorias de segurança, dos 
incidentes de segurança, dos resultados das medições e sugestões. 
 O escopo do SGSI alinhado com as características de negócio, da 
organização, sua localização, ativos e tecnologia. 
 
A organização deve implementar e operar a política, controles, 
processos e procedimentos do SGSI, buscando não burocratizar o 
funcionamento das áreas. 
 
Deve formular e implementar um plano de tratamento de riscos para 
identificar a ação de gestão apropriada, implementar um plano de 
conscientização e treinamento e gerenciar as ações e os recursos do 
SGSI. 
 
A organização deve implementar procedimentos de monitoração e 
análise crítica para detectar erros nos resultados de processamento, 
identificar as tentativas e violações de segurança bem-sucedida, e os 
incidente de segurança da informação.