aula_1_exercicios comentados_Gestao da Seguranca da Informacao_Infraestrutura_TI

Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 1 de 66 
AULA 01: Normas NBR ISO/IEC 27001 e 27002 
Sumário 
1. Apresentação do curso .......................................................................................................... 3 
1.1. A Banca ................................................................................................................................ 3 
1.2. Metodologia das aulas ......................................................................................................... 3 
2. Conteúdo programático e planejamento das aulas (Cronograma) ....................................... 4 
3. Informações iniciais ............................................................................................................... 4 
4. Introdução .............................................................................................................................. 5 
4.1. Abordagem de processo ...................................................................................................... 5 
4.2. Compatibilidade com outros sistemas de gestão ................................................................ 8 
5. Objetivo ................................................................................................................................ 10 
5.1. Aplicação ............................................................................................................................ 11 
6. Termos e definições ............................................................................................................. 12 
7. Sistema de gestão de segurança da informação ................................................................. 17 
7.1. Estabelecendo e gerenciando o SGSI ................................................................................ 17 
7.1.1. Implementar e operar o SGSI - A organização deve ...................................................... 22 
7.1.2. Monitorar e analisar criticamente o SGSI - A organização deve ................................... 22 
7.1.3. Manter e melhorar o SGSI – A organização deve regularmente: .................................. 24 
7.2. Requisitos de documentação - A documentação do SGSI deve incluir ............................. 25 
7.2.1. Controle de documentos ............................................................................................... 26 
7.2.2. Controle de registros ..................................................................................................... 27 
8. Responsabilidades da direção .............................................................................................. 29 
8.1. Gestão de recursos ............................................................................................................ 29 
8.1.1. Treinamento, conscientização e competência .............................................................. 30 
9. Auditorias internas do SGSI ................................................................................................. 30 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 2 de 66 
10. Análise crítica do SGSI pela direção .................................................................................... 31 
10.1. Entradas para a análise crítica devem incluir ................................................................. 32 
10.2. Saídas da análise crítica .................................................................................................. 32 
11. Melhoria do SGSI ................................................................................................................ 33 
11.1. Ação corretiva ................................................................................................................. 33 
11.2. Ação preventiva .............................................................................................................. 34 
12. Objetivos de controle e controles ...................................................................................... 35 
13. Princípios da OECD e o modelo PDCA descrito da ISO 27001 ............................................ 56 
14. Correspondência entre as ISO 9001, 14001 e 27001 ......................................................... 58 
15. Lista das Questões Utilizadas na Aula ................................................................................ 60 
16. Gabarito .............................................................................................................................. 66 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 3 de 66 
1. Apresentação do curso. 
Nosso curso terá como foco atender a necessidade do concurseiro que irá fazer a 
prova de INFORMÁTICA (ÁREA DE INFRAESTRUTURA DE TI E SEGURANÇA DA INFORMAÇÃO) 
(código 002)) e precisa ter conhecimento sobre o conteúdo referente aos tópicos Gestão de 
segurança da informação e Gestão de riscos e continuidade de negócio, conforme abaixo 
descrito: 
Gestão de segurança da informação: Normas NBR ISO/IEC 27001 e 27002; e 
Gestão de riscos e continuidade de negócio: Normas NBR ISO/IEC 15999 e 27005. 
 
1.1. A Banca. 
A Vunesp é uma banca sem grande experiência em provas de concursos públicos que 
tratem das disciplinas de TI, por isso, além das questões da Vunesp, vamos utilizar também 
algumas questões de outras bancas tais como a Cesgranrio, FCC e Cespe/UnB, desde sejam 
do mesmo perfil. 
 
1.2. Metodologia das aulas. 
Teremos aulas expositivas, descritivas e descontraídas com aproximadamente 40 
páginas por aula, as quais poderão variar em quantidade, dependendo do assunto tratado e 
da abordagem oferecida, mas tentando sempre manter tal média. Fiquem tranquilos, 
normalmente acabamos as aulas em muito mais que isso, pois não gosto de economizar no 
conteúdo que é cobrado nas provas dos senhores. 
Todas as aulas terão uma introdução teórica, abrangendo os assuntos tratados, e 
uma bateria de exercícios comentados, para fixação do conteúdo e aprendizado do estilo da 
banca. 
Abordarei os assuntos desde o básico até o avançado, para que o aluno iniciante 
tenha conhecimento e contato inicial com os tópicos tratados, e o aluno mais experiente 
possa se aprofundar através da resolução de questões. 
A aplicação dos exercícios poderá variar de aula pra aula, de acordo com a proporção 
dos assuntos cobrados em questões de provas anteriores. 
 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 4 de 66 
2. Conteúdo programático e planejamento das aulas (Cronograma) 
O Conteúdo programático está distribuído de forma que, mesmo quem nunca teve 
contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela é 
abordada pela banca. 
Pretendo sempre trabalhar os assuntos conforme o nível da banca, por isso, tudo 
que coloco nas aulas cai ou que pode cair na prova. 
Aula Conteúdo a ser trabalhado 
Aula 1 
▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 1) 
Aula 2 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 2) 
Aula 3 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 3) 
Aula 4 
▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 4) 
Aula 5 
▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 5) 
Aula 6 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 6) 
 
Nossa aula de hoje abordará os assuntos referentes à NBR ISO/IEC 27001:2006. 
 
3. Informações iniciais 
Antes de adentrarmos na parte técnica deste assunto, devemos conhecer algumas 
informações, que julgo essenciais, principalmente para quem está a pouco tempo estudando 
para concursos na área de TI. Então vamos às informações. 
ISO 27001