Buscar

aula_1_exercicios comentados_Gestao da Seguranca da Informacao_Infraestrutura_TI

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 66 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 66 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 66 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 1 de 66 
AULA 01: Normas NBR ISO/IEC 27001 e 27002 
Sumário 
1. Apresentação do curso .......................................................................................................... 3 
1.1. A Banca ................................................................................................................................ 3 
1.2. Metodologia das aulas ......................................................................................................... 3 
2. Conteúdo programático e planejamento das aulas (Cronograma) ....................................... 4 
3. Informações iniciais ............................................................................................................... 4 
4. Introdução .............................................................................................................................. 5 
4.1. Abordagem de processo ...................................................................................................... 5 
4.2. Compatibilidade com outros sistemas de gestão ................................................................ 8 
5. Objetivo ................................................................................................................................ 10 
5.1. Aplicação ............................................................................................................................ 11 
6. Termos e definições ............................................................................................................. 12 
7. Sistema de gestão de segurança da informação ................................................................. 17 
7.1. Estabelecendo e gerenciando o SGSI ................................................................................ 17 
7.1.1. Implementar e operar o SGSI - A organização deve ...................................................... 22 
7.1.2. Monitorar e analisar criticamente o SGSI - A organização deve ................................... 22 
7.1.3. Manter e melhorar o SGSI – A organização deve regularmente: .................................. 24 
7.2. Requisitos de documentação - A documentação do SGSI deve incluir ............................. 25 
7.2.1. Controle de documentos ............................................................................................... 26 
7.2.2. Controle de registros ..................................................................................................... 27 
8. Responsabilidades da direção .............................................................................................. 29 
8.1. Gestão de recursos ............................................................................................................ 29 
8.1.1. Treinamento, conscientização e competência .............................................................. 30 
9. Auditorias internas do SGSI ................................................................................................. 30 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 2 de 66 
10. Análise crítica do SGSI pela direção .................................................................................... 31 
10.1. Entradas para a análise crítica devem incluir ................................................................. 32 
10.2. Saídas da análise crítica .................................................................................................. 32 
11. Melhoria do SGSI ................................................................................................................ 33 
11.1. Ação corretiva ................................................................................................................. 33 
11.2. Ação preventiva .............................................................................................................. 34 
12. Objetivos de controle e controles ...................................................................................... 35 
13. Princípios da OECD e o modelo PDCA descrito da ISO 27001 ............................................ 56 
14. Correspondência entre as ISO 9001, 14001 e 27001 ......................................................... 58 
15. Lista das Questões Utilizadas na Aula ................................................................................ 60 
16. Gabarito .............................................................................................................................. 66 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 3 de 66 
1. Apresentação do curso. 
Nosso curso terá como foco atender a necessidade do concurseiro que irá fazer a 
prova de INFORMÁTICA (ÁREA DE INFRAESTRUTURA DE TI E SEGURANÇA DA INFORMAÇÃO) 
(código 002)) e precisa ter conhecimento sobre o conteúdo referente aos tópicos Gestão de 
segurança da informação e Gestão de riscos e continuidade de negócio, conforme abaixo 
descrito: 
Gestão de segurança da informação: Normas NBR ISO/IEC 27001 e 27002; e 
Gestão de riscos e continuidade de negócio: Normas NBR ISO/IEC 15999 e 27005. 
 
1.1. A Banca. 
A Vunesp é uma banca sem grande experiência em provas de concursos públicos que 
tratem das disciplinas de TI, por isso, além das questões da Vunesp, vamos utilizar também 
algumas questões de outras bancas tais como a Cesgranrio, FCC e Cespe/UnB, desde sejam 
do mesmo perfil. 
 
1.2. Metodologia das aulas. 
Teremos aulas expositivas, descritivas e descontraídas com aproximadamente 40 
páginas por aula, as quais poderão variar em quantidade, dependendo do assunto tratado e 
da abordagem oferecida, mas tentando sempre manter tal média. Fiquem tranquilos, 
normalmente acabamos as aulas em muito mais que isso, pois não gosto de economizar no 
conteúdo que é cobrado nas provas dos senhores. 
Todas as aulas terão uma introdução teórica, abrangendo os assuntos tratados, e 
uma bateria de exercícios comentados, para fixação do conteúdo e aprendizado do estilo da 
banca. 
Abordarei os assuntos desde o básico até o avançado, para que o aluno iniciante 
tenha conhecimento e contato inicial com os tópicos tratados, e o aluno mais experiente 
possa se aprofundar através da resolução de questões. 
A aplicação dos exercícios poderá variar de aula pra aula, de acordo com a proporção 
dos assuntos cobrados em questões de provas anteriores. 
 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 4 de 66 
2. Conteúdo programático e planejamento das aulas (Cronograma) 
O Conteúdo programático está distribuído de forma que, mesmo quem nunca teve 
contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela é 
abordada pela banca. 
Pretendo sempre trabalhar os assuntos conforme o nível da banca, por isso, tudo 
que coloco nas aulas cai ou que pode cair na prova. 
Aula Conteúdo a ser trabalhado 
Aula 1 
▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 1) 
Aula 2 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 2) 
Aula 3 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 3) 
Aula 4 
▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 4) 
Aula 5 
▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 5) 
Aula 6 ▪ Normas NBR ISO/IEC 27001 e 27002. (Parte 6) 
 
Nossa aula de hoje abordará os assuntos referentes à NBR ISO/IEC 27001:2006. 
 
3. Informações iniciais 
Antes de adentrarmos na parte técnica deste assunto, devemos conhecer algumas 
informações, que julgo essenciais, principalmente para quem está a pouco tempo estudando 
para concursos na área de TI. Então vamos às informações. 
ISO 27001é o padrão e a referência Internacional para a gestão da Segurança da 
Informação. 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 5 de 66 
A sua adoção serve para que as organizações adotem um modelo adequado de 
estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema 
de Gestão de Segurança da Informação (SGSI). 
Este sistema de Gestão de Segurança da Informação é um modelo holístico de 
abordagem à Segurança da Informação e independente de marcas e fabricantes tecnológicos. 
É holístico porque acaba por ser uma abordagem de 360º à Segurança da 
Informação, tratando de múltiplos temas relacionados ao assunto. 
É independente de fabricantes porque se destina ao estabelecimento de processos 
e procedimentos que depois podem ser materializados à realidade de cada organização de 
forma diferente e com a especificidade de cada ambiente tecnológico e organizacional. 
Depois dessa ambientação, vamos ao que interessa! 
 
4. Introdução 
4.1. Abordagem de processo 
 Neste contexto, processo é qualquer atividade que faz uso de recursos e os 
gerencia para habilitar a transformação de entradas em saídas pode ser considerada um 
processo. 
OBSERVAÇÃO IMPORTANTE: 
▪ Frequentemente a saída de um processo forma diretamente a entrada do processo 
seguinte. 
 
 Abordagem de processo é aplicação de um sistema de processos dentro de 
uma 
organização, junto com a identificação e interações destes processos, e a sua gestão. 
 A abordagem de processo relativo ao SGSI de uma organização tem a finalidade 
de: 
▪ Estabelecer e Implementar; 
▪ Operar 
▪ Monitorar 
▪ Analisar criticamente 
▪ Manter; e ▪ Melhorar. 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 6 de 66 
OBSERVAÇÃO IMPORTANTE: 
▪ Segue um macete para ajudar a decorar os processos: (Pode levar a sério, porque isso 
pode te ajudar a resolver questões de prova). 
EIOMAMM » (E) Estabelecer, (I) Implementar e (O) Operar, (M) Monitorar e (A) Avaliar 
criticamente, (M) Manter e (M) Melhorar. 
E IO MA MM 
P D C A 
 A abordagem de processo enfatiza a importância de: 
▪ Entender os requisitos de segurança da informação e a necessidade de 
estabelecer uma política e seus objetivos; 
▪ Implementar e operar controles para gerenciar os riscos de segurança da 
informação de uma organização; 
▪ Monitorar e analisar criticamente o desempenho e eficácia do SGSI; e ▪ 
Melhoria contínua baseada em medições objetivas. 
 Veremos agora (Figura 1) o modelo conhecido como "Plan-Do-Check-Act” 
(PDCA), que é aplicado para estruturar todos os processos do SGSI. 
 
Figura 1 — Modelo PDCA aplicado aos processos do SGSI 
 
 Veja a descrição de cada um dos processos: 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 7 de 66 
 
1. (FCC - 2011 - TRT - 14ª Região - RO e AC) Estabelecer a política, objetivos, processos e 
procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da 
informação para produzir resultados de acordo com as políticas e objetivos globais de uma 
organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta 
definição pertence a 
 
a) planejar. 
b) agir. 
c) fazer. 
d) confidencializar. 
e) checar. 
Comentário: 
Observe a descrição do PDCA destacada em vermelho : 
 
Gabarito: A 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 8 de 66 
 
2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos 
do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do 
(fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria 
contínua do SGSI. 
( ) Certo ( ) Errado 
Comentário: 
Observando a tabela acima podemos verificar que: 
Do (fazer) quer dizer Implementar e operar a política, controles, processos e procedimentos 
do SGSI. 
A descrição mostrada na questão é referente ao Act (agir), veja: 
Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria 
interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para 
alcançar a melhoria contínua do SGSI. 
Gabarito: ERRADO 
 
 
4.2. Compatibilidade com outros sistemas de gestão 
 A tabela abaixo mostra o alinhamento da ISO 27001, 9001 e 14001. 
Infra de TI e Segurança da informação – Gestão de 
segurança da 
 informação – Aula 01 – Teoria e Exercícios 
 Página 9 de 66 
 
 
 Página 10 de 66 
 
5. Objetivo 
 O SGSI é projetado para assegurar a seleção de controles de segurança adequados 
e proporcionados para: 
 
 
 Página 11 de 66 
▪ Proteger os ativos de informação; e 
▪ Propiciar confiança às partes interessadas. 
 
5.1. Aplicação 
 Os requisitos que veremos são genéricos para possibilitar a aplicação em 
todas as organizações, independentemente de: 
▪ Tipo; ▪ 
Tamanho; e ▪ 
Natureza. 
 Precisa-se justificar a exclusão de controles necessária para satisfazer os 
critérios 
de aceitação de riscos. 
 As evidências de aceitação dos riscos associados pelas pessoas responsáveis 
precisam ser fornecidas. 
3. (FCC - 2011 - TRT - 4ª REGIÃO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre 
organizações do tipo 
a) comerciais, somente. 
b) governamentais, somente. 
c) sem fins lucrativos, somente. 
d) comerciais e governamentais, somente. 
e) comerciais, governamentais e sem fins lucrativos. 
Comentário: 
Veja o item Aplicação mostrado acima: 
 Os requisitos que veremos são genéricos para possibilitar a aplicação em todas 
as organizações, independentemente de: 
▪ Tipo; ▪ 
Tamanho; e ▪ 
Natureza. 
Gabarito: E 
 
 
4. (CESPE - 2012 - Banco da Amazônia) A respeito de aspectos gerais da norma ABNT NBR 
 
 Página 12 de 66 
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre 
que empregada, refere-se a sistema de gestão da segurança da informação De acordo com 
a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita 
mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis 
por eles. 
( ) Certo ( ) Errado 
Comentário: 
Veja o item “Aplicação” 
Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de 
aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram 
aceitos pelas pessoas responsáveis precisam ser fornecidas. 
Gabarito: CERTO 
 
 
6. Termos e definições 
 Ativo: Qualquer coisa que tenha valor para a organização. 
 Disponibilidade: Propriedade de estar acessível e utilizável sob 
demanda por 
uma entidade autorizada. 
 Confidencialidade: Propriedade de que a informação não esteja 
disponível ou 
revelada a indivíduos, entidades ou processos não autorizados. 
 Segurança da informação: Preservação da confidencialidade, 
integridade e disponibilidade da informação; adicionalmente, outras propriedades, 
tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem 
também estar envolvidas. 
 Evento de segurança da informação: Uma ocorrência identificada de 
um estado de sistema, serviço ou rede, indicando uma possível violação da política 
de segurança da informação ou falha de controles, ou uma situação previamente 
desconhecida, que possa ser relevante para a segurança da informação. 
 Incidente de segurança da informação: Um simples ou uma série de 
eventos de segurança da informação indesejados ou inesperados, que tenham uma 
 
 Página 13de 66 
grande probabilidade de comprometer as operações do negócio e ameaçar a 
segurança da informação. 
 Sistema de gestão da segurança da informação SGSI: A parte do sistema 
de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar a 
segurança da informação. 
 Integridade: Propriedade de salvaguarda (Proteção concedida por uma 
autoridade) da exatidão e completeza (Algo que mantém a integridade preservada) 
de ativos. 
 Risco residual: Risco remanescente após o tratamento de riscos. 
 Aceitação do risco: Decisão de aceitar um risco. 
 Análise de riscos: Uso sistemático de informações para identificar 
fontes e 
estimar o risco. 
 Análise/avaliação de riscos: Processo completo de análise e avaliação 
de riscos. 
 Avaliação de riscos: Processo de comparar o risco estimado com 
critérios de 
risco predefinidos para determinar a importância do risco. 
 Gestão de riscos: Atividades coordenadas para direcionar e controlar 
uma 
organização no que se refere a riscos. 
 Tratamento do risco: Processo de seleção e implementação de medidas 
para 
modificar um risco. 
5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta 
acerca de definições relacionadas à gestão de segurança da informação. 
a) O sistema de gestão da segurança da informação (SGSI), componente do sistema de 
gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo 
estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e 
melhoramento da segurança da informação. 
 
 Página 14 de 66 
b) Gestão de riscos consiste no processo de comparar o risco estimado com os critérios 
de risco predefinidos, a fim de determinar a importância do risco. 
c) Evento de segurança da informação é um evento (ou uma série de eventos) que 
ocorre de maneira indesejada ou inesperada, podendo comprometer as operações do 
negócio e ameaçar a segurança da informação. 
d) O incidente de segurança da informação consiste em um incidente que, caso seja 
identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível 
violação da política de segurança da informação, bem como de uma falha de controles ou 
de uma situação previamente desconhecida que possa ser relevante à segurança da 
informação. 
 e) Confidencialidade corresponde à propriedade de classificar uma informação sigilosa como 
confidencial. 
Comentário: 
Segundo a norma temos: 
Letra a) CERTO. Sistema de gestão da segurança da informação (SGSI) - A parte do sistema 
de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, 
implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da 
informação. 
Letra b) ERRADO. Gestão de riscos - Atividades coordenadas para direcionar e controlar uma 
organização no que se refere a riscos. 
Letra c) ERRADO. Evento de segurança da informação - Processo de comparar o risco 
estimado com critérios de risco predefinidos para determinar a importância do risco. Letra 
d) ERRADO. Incidente de segurança da informação - Um simples ou uma série de eventos de 
segurança da informação indesejados ou inesperados, que tenham uma grande 
probabilidade de comprometer as operações do negócio e ameaçar a segurança da 
informação. 
Letra e) ERRADO. Confidencialidade - Propriedade de que a informação não esteja disponível 
ou revelada a indivíduos, entidades ou processos não autorizados. 
Gabarito: A 
 
 
 Declaração de aplicabilidade: Declaração documentada que descreve os 
 
 Página 15 de 66 
objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização. 
OBSERVAÇÕES IMPORTANTES: 
▪ O sistema de gestão inclui estrutura organizacional, políticas, atividades de 
planejamento, responsabilidades, práticas, procedimentos, processos e recursos. 
▪ A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de 
riscos, a aceitação de riscos e a comunicação de riscos. 
▪ Neste contexto “controle” é usado como um sinônimo para “medida”. 
▪ Os objetivos de controle e controles estão baseados nos resultados e conclusões 
dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou 
regulamentares, obrigações contratuais e os requisitos de negócio da organização para a 
segurança da informação. 
 
 
 Página 16 de 66 
6. (FCC - 2011 - TRT - 1ª REGIÃO (RJ) De acordo com a NBR ISO/IEC 27001, integridade é 
a) a propriedade de a informação estar acessível e utilizável sob demanda por uma 
entidade autorizada. 
b) a propriedade de que a informação não esteja disponível ou revelada a indivíduos, 
entidades ou processos não autorizados. 
c) a possível violação da política de segurança da informação ou falha de controles. 
d) a propriedade de salvaguarda da exatidão e completeza de ativos. 
e) qualquer coisa que tenha valor para a organização. 
Comentário: 
Esta questão aborda algumas definições essenciais para este contexto. 
As alternativas trazem as definições de: 
Letra a) Disponibilidade: Propriedade de estar acessível e utilizável sob demanda por uma 
entidade autorizada. 
Letra b) Confidencialidade: Propriedade de que a informação não esteja disponível ou 
revelada a indivíduos, entidades ou processos não autorizados. 
Letra c) Evento: possível violação da política de segurança da informação ou falha de 
controles. 
Letra d) Integridade: Propriedade de salvaguarda (Proteção concedida por uma autoridade) 
da exatidão e completeza (Algo que mantém a integridade preservada) de ativos. 
Letra e) Ativo: Qualquer coisa que tenha valor para a organização. 
Gabarito: D 
 
 
7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicáveis ao 
SGSI da organização devem ser selecionados exclusivamente com base nos resultados e 
conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como 
controlar, evitar, transferir ou aceitar tais riscos. 
 
 Página 17 de 66 
( ) Certo ( ) Errado 
Comentário: 
Veja as Observações Importantes acima. Podemos ver que os objetivos de controle e 
controles, estão baseados TAMBÉM nos resultados e conclusões dos processos de 
tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os 
requisitos de negócio da organização. O termo EXCLUSIVAMENTE comprometeu a questão. 
Gabarito: ERRADO 
 
 
7. Sistema de gestão de segurança da informação 
A organização deve estabelecer, implementar, operar, monitorar, analisar 
criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades 
de negócio globais da organização e os riscos que ela enfrenta. 
Este processo está baseado no modelo de PDCA mostrado na figura 1 (Acima). 
 
7.1. Estabelecendo e gerenciando o SGSI 
Para estabelecer o SGSI a organização deve: 
 Definir o escopo e os limites do SGSI. 
▪ Para isso, a organização precisa observar sua localização, ativos e tecnologia, 
incluindo detalhes e justificativas para quaisquer exclusões do escopo;  Definir 
uma política do SGSI. 
▪ A organização precisa observar sua localização, ativos e tecnologia que: 
1) inclua uma estrutura para definir objetivos e estabeleça um 
direcionamento global e princípios para ações relacionadas com a segurança 
da informação; 
2) considere requisitos de negócio, legais e/ou regulamentares, e 
obrigações de segurança contratuais; 
3) esteja alinhada com o contexto estratégico de gestão de riscos da 
organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; 
4) estabeleça critérios em relação aos quais os riscos serão avaliados; e 5) 
tenha sido aprovada pela direção. 
 
 Página 18 de 66 
OBSERVAÇÃO IMPORTANTE: 
▪ A política doSGSI é considerada um documento maior da política de segurança 
da informação. 
 
 Definir a abordagem de análise/avaliação de riscos para: 
1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada 
ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, 
identificados para o negócio. 
2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis 
de risco. 
OBSERVAÇÃO IMPORTANTE: 
▪ A metodologia de análise/avaliação de riscos selecionada deve assegurar a 
produção de resultados comparáveis e reproduzíveis. 
 
 Identificar os riscos: 
1) Identificar os ativos dentro do escopo do SGSI e seus proprietários. 
OBSERVAÇÃO IMPORTANTE: 
▪ Proprietário se refere à pessoa ou organismo que tenha uma responsabilidade 
autorizada para controlar a produção, o desenvolvimento, a manutenção, o uso 
e a segurança dos ativos. Isso não quer dizer que o proprietário tenha qualquer 
direito de propriedade ao ativo. 
 
2) Identificar as ameaças a esses ativos. 
3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) 
Identificar os impactos que as perdas de confidencialidade, integridade e 
disponibilidade podem causar aos ativos. 
 Analisar e avaliar os riscos: 
1) Avaliar os impactos para o negócio da organização que podem resultar de 
falhas de segurança, levando em consideração as consequências de uma perda 
de confidencialidade, integridade ou disponibilidade dos ativos. 
 
 Página 19 de 66 
2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de 
ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos 
e os controles atualmente implementados. 
3) Estimar os níveis de riscos. 
4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os 
critérios estabelecidos. 
 Identificar e avaliar as opções para o tratamento de riscos: 
▪ Possíveis ações incluem: 
1) aplicar os controles apropriados; 
2) aceitar os riscos consciente e objetivamente, desde que satisfaçam 
claramente às políticas da organização e aos critérios de aceitação de riscos; 
3) evitar riscos; e 
4) transferir os riscos associados ao negócio a outras partes, por exemplo, 
seguradoras e fornecedores. 
 Selecionar objetivos de controle e controles para o tratamento de riscos. ▪ 
Objetivos de controle e controles devem ser selecionados e implementados para 
atender aos requisitos identificados pela análise/avaliação de riscos e pelo 
processo de tratamento de riscos. 
▪ Esta seleção deve considerar os critérios para aceitação de riscos como 
também os requisitos legais, regulamentares e contratuais. 
 Obter aprovação da direção dos riscos residuais propostos. 
 Obter autorização da direção para implementar e operar o SGSI. 
 Preparar uma Declaração de Aplicabilidade. 
▪ A Declaração de Aplicabilidade provê um resumo das decisões relativas ao 
tratamento de riscos. 
▪ A justificativa das exclusões provê uma checagem cruzada de que nenhum 
controle foi omitido inadvertidamente. 
▪ Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: 1) 
Os objetivos de controle e os controles selecionados e as razões para sua 
seleção; 
2) Os objetivos de controle e os controles atualmente implementados; e 
 
 Página 20 de 66 
3) A exclusão de quaisquer objetivos de controle e controles com a respectiva 
justificativa para sua exclusão. 
8. (FCC - 2013 - TRT - 18ª Região/GO) A Norma NBR ISO/IEC 27001:2006, na seção que trata 
do estabelecimento e gerenciamento do SGSI, orienta que a organização deve definir uma 
política do SGSI nos termos das características do negócio, sua localização, ativos e 
tecnologia que observe as características listadas abaixo, EXCETO: a) obtenha a autorização 
dos stakeholders (partes interessadas). 
b) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e 
princípios para ações relacionadas com a segurança da informação. 
c) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de 
segurança contratuais. 
d) esteja alinhada com o contexto estratégico de gestão de riscos da organização no 
qual o estabelecimento e manutenção do SGSI irão ocorrer. 
e) estabeleça critérios em relação aos quais os riscos serão avaliados. 
Comentário: 
Observe que a questão quer a alternativa INCORRETA. 
Para estabelecer o SGSI a organização deve: 
 Definir o escopo e os limites do SGSI. 
▪ Para isso, a organização precisa observar sua localização, ativos e tecnologia, 
incluindo detalhes e justificativas para quaisquer exclusões do escopo;  Definir 
uma política do SGSI. 
▪ A organização precisa observar sua localização, ativos e tecnologia que: 
1) inclua uma estrutura para definir objetivos e estabeleça um 
direcionamento global e princípios para ações relacionadas com a segurança 
da informação; (descrito na letra b) 
2) considere requisitos de negócio, legais e/ou regulamentares, e 
obrigações de segurança contratuais; (descrito na letra c) 
3) esteja alinhada com o contexto estratégico de gestão de riscos da 
organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; 
(descrito na letra d) 
4) estabeleça critérios em relação aos quais os riscos serão avaliados; e 
 
 Página 21 de 66 
(descrito na letra e) 
5) tenha sido aprovada pela direção. 
Como podemos observar, a alternativa a) é a única que não aparece na descrição acima. A 
referência que podemos mencionar sobre ela está no item “Manter e melhorar o SGSI – A 
organização deve: regularmente comunicar as ações e melhorias a todas as partes 
interessadas”. 
Gabarito: A 
 
 
9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a 
organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia 
da informação e a abordagem para a avaliação de riscos. ( ) Certo ( ) Errado 
Comentário: 
A ISO 27001 no item “Estabelecer o SGSI”, não menciona a definição de um plano diretor, 
observe o descrito na norma. 
A organização deve: 
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a 
organização, sua localização, ativos e 
tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2); 
b) Definir uma política do SGSI nos termos das características do negócio, a organização, 
sua localização, ativos e tecnologia que 
d) Identificar os riscos. 
e) Analisar e avaliar os riscos. 
f) Identificar e avaliar as opções para o tratamento de riscos. 
g) Selecionar objetivos de controle e controles para o tratamento de riscos. 
h) Obter aprovação da direção dos riscos residuais propostos. 
i) Obter autorização da direção para implementar e operar o SGSI. 
j) Preparar uma Declaração de Aplicabilidade. 
Gabarito: ERRADO 
 
 
 
 Página 22 de 66 
7.1.1. Implementar e operar o SGSI - A organização deve 
 Formular um plano de tratamento de riscos. 
▪ Identificando a ação de gestão, recursos, responsabilidades e prioridades. 
 Implementar o plano de tratamento de riscos. 
▪ Incluindo considerações de financiamentos e atribuição de papéis e 
responsabilidades. 
 Implementar os controles selecionados. 
 Definir como medir a eficácia dos controles ou grupos de controles. 
▪ Especificando como estas medidas devem ser usadas para avaliar a eficácia 
dos controles de modo a produzir resultados comparáveis e reproduzíveis. 
 Implementar programas de conscientização e treinamento. 
 Gerenciar as operações do SGSI. 
 Gerenciar os recursos para o SGSI. 
 Implementar procedimentos e outros controles capazes de permitir a 
pronta detecção de eventos de segurança da informação e resposta a incidentes de 
segurança da informação. 
 
7.1.2. Monitorar e analisar criticamente o SGSI - A organizaçãodeve 
 Executar procedimentos de monitoração e análise crítica: 
1) detectar erros nos resultados de processamento; 
2) identificar tentativas e violações de segurança bem-sucedidas, e incidentes de 
segurança da informação; 
3) permitir à direção determinar se as atividades de segurança da informação 
delegadas a pessoas ou implementadas por meio de tecnologias de informação 
são executadas conforme esperado; 
4) ajudar a detectar eventos de segurança da informação e assim prevenir 
incidentes de segurança da informação pelo uso de indicadores; e 
5) determinar se as ações tomadas para solucionar uma violação de segurança da 
informação foram eficazes. 
 Realizar análises críticas regulares da eficácia do SGSI. 
 
 Página 23 de 66 
 Medir a eficácia dos controles. 
 Analisar criticamente as análises/avaliações de riscos e analisar 
criticamente os riscos residuais e os níveis de riscos aceitáveis identificados, levando 
em consideração mudanças relativas a: 
1) organização; 
2) tecnologias; 
3) objetivos e processos de negócio; 
4) ameaças identificadas; 
5) eficácia dos controles implementados; 6) eventos externos. 
 Conduzir auditorias internas (ou auditorias de primeira) do SGSI. 
 Realizar uma análise crítica do SGSI pela direção. 
 Atualizar os planos de segurança da informação. 
 Registrar ações e eventos que possam ter um impacto na eficácia ou no 
desempenho do SGSI. 
10. (FCC - 2012 - TJ/PE) A eficácia dos controles para verificar se os requisitos de segurança 
da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da 
Informação (SGSI), nas fases 
a) estabelecer e gerenciar o SGSI. 
b) monitorar e analisar criticamente o SGSI. 
c) planejar e implantar o SGSI. 
d) implementar e operar o SGSI. 
e) manter e melhorar o SGSI. 
Comentário: 
Observe: 
 Que o objeto da questão é: em qual fase deve ser medida a eficácia dos 
controles para verificar se os requisitos de segurança da informação foram atendidos. 
 A maldade do examinador em colocar nas alternativas d) e e) outras duas 
subfases de “Estabelecendo e gerenciando o SGSI“ para confundir o aluno. 
Conforme vimos em nossa aula de hoje, 
Monitorar e analisar criticamente o SGSI - A organização deve 
 Executar procedimentos de monitoração e análise crítica: ... 
 
 Página 24 de 66 
 Realizar análises críticas regulares da eficácia do SGSI. 
 Medir a eficácia dos controles. 
Gabarito: B 
 
 
7.1.3. Manter e melhorar o SGSI – A organização deve regularmente: 
 Implementar as melhorias no SGSI. 
 Executar as ações preventivas e corretivas. 
▪ Aplicar as lições aprendidas de experiências de segurança da informação de 
outras organizações e aquelas da própria organização. 
 Comunicar as ações e melhorias a todas as partes interessadas. 
 Assegurar-se de que as melhorias atinjam os objetivos pretendidos. 
 
11. (FCC - 2012 - TRT - 11ª Região/AM) Segundo a norma ISO 27001, para se estabelecer o 
Sistema de Gestão de Segurança da Informação (SGSI), considere: 
I. A organização deve definir uma política do SGSI nos termos das características do 
negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o 
contexto estratégico de gestão de riscos da organização no qual o estabelecimento e 
manutenção do SGSI irão ocorrer. 
II. A organização deve definir a abordagem de análise/avaliação de riscos da organização 
e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. 
III. Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação 
aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas 
da organização e aos critérios de aceitação de riscos. Está correto o que se afirma em a) I e 
II, apenas. 
b) I e III, apenas. 
c) II, apenas. 
d) III, apenas. 
e) I, II e III. 
Comentário: 
 
 Página 25 de 66 
Observe o que vimos em nossa aula de hoje no tópico “6.1 Estabelecendo e gerenciando o 
SGSI” 
Item I. CORRETO. 
 Definir uma política do SGSI. 
▪ A organização precisa observar sua localização, ativos e tecnologia que: 3) 
esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o 
estabelecimento e manutenção do SGSI irão ocorrer; Item II. CORRETO. 
 Definir a abordagem de análise/avaliação de riscos para: 
2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis 
de risco. 
Item III. CORRETO. 
 Identificar e avaliar as opções para 
2) aceitar os riscos consciente e objetivamente, desde que satisfaçam 
claramente às políticas da organização e aos critérios de aceitação de riscos; 
Gabarito: E 
 
 
7.2. Requisitos de documentação - A documentação do SGSI deve incluir 
 Registros de decisões da direção  Uma forma de: 
▪ Assegurar que as ações sejam rastreáveis às políticas e decisões da direção. 
▪ Assegurar que os resultados registrados sejam reproduzíveis. 
▪ Demonstrar a relação dos controles selecionados com os resultados da 
análise/avaliação de riscos e do processo de tratamento de riscos, e 
consequentemente com a política e objetivos do SGSI. 
 Declarações documentadas da política e objetivos; 
 Escopo; 
 Procedimentos e controles que apoiam o SGSI; 
 Descrição da metodologia de análise/avaliação de riscos; 
 Relatório de análise/avaliação de riscos; 
 Plano de tratamento de riscos; 
 
 Página 26 de 66 
 Procedimentos documentados requeridos pela organização para assegurar: 
▪ Planejamento efetivo. 
▪ Operação e o controle de seus processos de segurança de informação. 
▪ Descrever como medir a eficácia dos controles. 
 Registros requeridos; e 
 Declaração de Aplicabilidade. 
 OBSERVAÇÕES IMPORTANTES: 
▪ Procedimento documentado é igual a procedimento é estabelecido, 
documentado, implementado e mantido. 
▪ A abrangência da documentação do SGSI variam de acordo com: 
o Tamanho da organização; o Tipo de suas atividades; 
e 
o Escopo e complexidade dos requisitos de segurança 
e o do sistema 
gerenciado. 
▪ Documentos e registros podem estar em qualquer forma ou tipo de mídia. 
 
7.2.1. Controle de documentos 
 Os documentos requeridos pelo SGSI devem ser protegidos e controlados. 
 Um procedimento documentado deve ser estabelecido para definir as ações de 
gestão necessárias para: 
▪ Aprovar, antes de sua emissão, documentos quanto à sua adequação; 
▪ Analisar criticamente e atualizar e reaprovar documentos; 
▪ Assegurar que sejam identificadas as alterações e a situação da revisão atual 
dos documentos; 
▪ Assegurar que as versões pertinentes de documentos aplicáveis estejam 
disponíveis nos locais de uso; 
▪ Assegurar que os documentos permaneçam legíveis e prontamente 
identificáveis; 
▪ Assegurar que os documentos: 
o Estejam disponíveis àqueles que deles precisam; 
 
 Página 27 de 66 
o Sejam transferidos, armazenados e finalmente descartados conforme os 
procedimentos aplicáveis à sua classificação; 
▪ Assegurar que documentos de origem externa sejam identificados; 
▪ Assegurar que a distribuição de documentos seja controlada; 
▪ Prevenir o uso não intencional de documentos obsoletos; e 
▪ Aplicar identificação adequada nos casos em que sejam retidos para qualquer 
propósito. 
 
7.2.2. Controle de registros 
 Registros devem ser estabelecidos e mantidos para: 
▪ Fornecer evidências de conformidade aos requisitos e da operação eficaz do 
SGSI. 
 Devem ser protegidos e controlados. 
 O SGSI deve considerar quaisquer requisitos legais ou regulamentares 
pertinentes e obrigações contratuais. 
 Registros devem permanecer legíveis, identificáveis e recuperáveis. 
 Controles devem ser documentados e implementados para: 
▪ Identificação; 
▪ Armazenamento;▪ Proteção; 
▪ Recuperação; 
▪ Tempo de retenção; e ▪ Disposição de registros. 
 Devem ser mantidos: 
▪ Registros do desempenho do processo; e 
▪ Ocorrências de incidentes de segurança da informação relacionados ao SGSI. 
 
 
 Página 28 de 66 
 
12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo conceitual 
sistêmico da norma ABNT NBR ISO/IEC 27001, julgue o item. 
Entre os documentos e registros cujo controle é demandado pela ISO 27001, destacam-se 
como documentos a declaração da política de segurança, o relatório de análise/avaliação de 
risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de 
visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros 
registros, inclusive de não conformidade. 
( ) Certo ( ) Errado 
Comentário: 
Veja o item “Requisitos de documentação - A documentação do SGSI deve incluir:” 
a) declarações documentadas da política e objetivos do SGSI; 
b) o escopo do SGSI; 
c) procedimentos e controles que apoiam o SGSI; 
d) uma descrição da metodologia de análise/avaliação de riscos; 
e) o relatório de análise/avaliação de riscos; 
f) o plano de tratamento de riscos; 
g) procedimentos documentados requeridos pela organização para assegurar o 
planejamento efetivo, a operação e o controle de seus processos de segurança de informação 
e para descrever como medir a eficácia dos controles; 
h) registros requeridos por esta Norma; e 
i) a Declaração de Aplicabilidade. 
 São citados na norma como exemplos de registros: livros de visitantes, relatórios 
de auditoria e formulários de autorização de acesso preenchidos. 
Gabarito: CERTO 
 
 
 
 Página 29 de 66 
8. Responsabilidades da direção 
 A Direção deve fornecer evidência do seu comprometimento com o: 
▪ Estabelecimento; 
▪ Implementação; 
▪ Operação; 
▪ Monitoramento; 
▪ Análise crítica; 
▪ Manutenção; e 
▪ Melhoria do SGSI 
 Este comprometimento deve ser comprovado mediante: 
▪ Estabelecimento da política do SGSI; 
▪ Garantia de que são estabelecidos os planos e objetivos do SGSI; 
▪ Estabelecimento de papéis e responsabilidades pela 
 segurança de informação; 
▪ Comunicação à organização da(s): o Importância em atender aos objetivos e a 
conformidade com a política de segurança de informação o Responsabilidades 
perante a lei; e o Necessidade para melhoria contínua. 
▪ Provisão de recursos suficientes para: 
o Estabelecer; o 
Implementar; o Operar; o 
Monitorar; o Analisar 
criticamente; o Manter e 
melhorar o SGSI; 
▪ Definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; 
▪ Garantia de que as auditorias internas sejam realizadas; e ▪ Condução de 
análises críticas pela direção. 
 
8.1. Gestão de recursos 
 A organização deve determinar e prover os recursos necessários para: 
▪ Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI; 
 
 Página 30 de 66 
▪ Assegurar que os procedimentos apoiam os requisitos de negócio; 
▪ Identificar e tratar os requisitos legais e regulamentares e obrigações 
contratuais; 
▪ Manter a segurança da informação adequada; 
▪ Realizar análises críticas; 
▪ Reagir adequadamente aos resultados das análises críticas; e ▪ Melhorar a 
eficácia do SGSI. 
 
 
8.1.1. Treinamento, conscientização e competência 
 A organização deve assegurar que o pessoal: 
▪ Com responsabilidades atribuídas definidas no SGSI seja competente no 
desempenho das tarefas requeridas 
▪ Pertinente esteja consciente da relevância e importância das suas atividades e 
como eles contribuem para o alcance dos objetivos do SGSI. 
 A organização pode assegurar isso: 
▪ Determinando as competências necessárias para o pessoal que executa 
trabalhos que afetam o SGSI; 
▪ Fornecendo treinamento ou executando outras ações para satisfazer essas 
necessidades; 
▪ Avaliando a eficácia das ações executadas; e 
▪ Mantendo registros de educação, treinamento, habilidades, experiências e 
qualificações. 
 
9. Auditorias internas do SGSI 
 A organização: 
▪ Deve conduzir auditorias internas. 
o Com intervalos planejados; 
 As auditorias devem determinar se os objetivos de controle, controles, 
processos e procedimentos do seu SGSI: 
 
 Página 31 de 66 
▪ Atendem aos requisitos da ISSO 27001 e à legislação ou regulamentações 
pertinentes; 
▪ Atendem aos requisitos de segurança da informação identificados; 
▪ Estão mantidos e implementados eficazmente; e ▪ São executados conforme 
esperado. 
 
 Um programa de auditoria deve ser planejado levando em consideração ▪ 
Situação e a importância dos processos e áreas a serem auditadas; ▪ Resultados 
de auditorias anteriores. 
 
 Critérios a serem definidos: 
▪ Auditoria; 
▪ Escopo; ▪ Frequência; e ▪ Métodos. 
 
 A seleção dos auditores e a execução das auditorias devem assegurar 
objetividade e imparcialidade do processo de auditoria. 
 Os auditores não devem auditar seu próprio trabalho. 
 Devem ser definidos em um procedimento documentado: ▪ As responsabilidades; 
▪ Os requisitos para: o Planejamento; o Execução de auditorias; o Relatar os 
resultados; e o Manutenção dos registros. 
 
 O responsável pela área a ser auditada deve: 
▪ Assegurar que as ações sejam executadas, sem demora indevida, para 
eliminar as não-conformidades detectadas e suas causas. 
 
 As atividades de acompanhamento devem incluir: 
▪ Verificação das ações executadas; e 
▪ Relato dos resultados de verificação. 
 
10. Análise crítica do SGSI pela direção 
 A direção deve analisar criticamente o SGSI da organização pelo menos uma vez 
 
 Página 32 de 66 
por ano para assegurar: 
▪ Contínua pertinência; 
▪ Adequação; e ▪ Eficácia. 
 Esta análise crítica deve incluir: 
▪ Avaliação de oportunidades para melhoria; e 
▪ Necessidade de mudanças do SGSI, considerando: 
o Política de segurança da informação o 
Objetivos de segurança da informação. 
 Os resultados dessas análises críticas devem ser claramente documentados e 
seus registros mantidos. 
 
10.1. Entradas para a análise crítica devem incluir 
 Resultados de auditorias e análises críticas; 
 Realimentação das partes interessadas;  Técnicas, produtos ou procedimentos: 
▪ Desde que possam ser usados na organização para melhorar o desempenho e a 
eficácia do SGSI; 
 
 Situação das ações preventivas e corretivas; 
 Vulnerabilidades/ameaças não contempladas adequadamente 
 nas 
análises/avaliações de risco anteriores; 
 Resultados das medições de eficácia; 
 Acompanhamento das ações oriundas de análises críticas anteriores pela 
direção; 
 Quaisquer mudanças que possam afetar o SGSI; e  Recomendações para 
melhoria. 
 
10.2. Saídas da análise crítica 
 Devem incluir quaisquer decisões e ações relacionadas a: 
▪ Melhoria da eficácia do SGSI. 
 
 Página 33 de 66 
▪ Atualização da (o): 
o Análise/avaliação de riscos; e o Plano de tratamento de riscos. 
▪ Modificação de procedimentos e controles que afetem a segurança da 
informação: 
o Com o objetivo de responder a eventos internos ou externos que possam 
impactar no SGSI. 
o Essas modificações devem incluir mudanças de: 
- Requisitos de negócio; 
- Requisitos de segurança da informação; 
- Processos de negócio que afetem os requisitos de negócio existentes; 
- Requisitos legais ou regulamentares; 
- Obrigações contratuais; e 
- Níveis de riscos e/ou critérios de aceitação de riscos. 
▪ Necessidade de recursos. 
▪ Melhoria de como a eficácia dos controles está sendo medida. 
 
11. Melhoria do SGSI 
 A organização deve continuamente melhorar a eficácia do SGSI utilizando: 
▪ Política de segurança da informação; 
▪ Objetivos desegurança da informação; 
▪ Resultados de auditorias; 
▪ Análises de eventos monitorados 
▪ Ações corretivas e preventivas; ▪ Análise crítica pela direção. 
 
11.1. Ação corretiva 
 A organização deve executar ações para eliminar as causas de 
nãoconformidades: 
▪ Objetivo: evitar repetição, ou seja, evitar recorrência da não-conformidade. 
 
 Os procedimentos das ações corretivas de não-conformidade devem ser 
 
 Página 34 de 66 
documentados e definir requisitos para: 
▪ Identificar não-conformidades; 
▪ Determinar as causas de não-conformidades; 
▪ Avaliar a necessidade de ações para assegurar que as não-conformidades se 
repitam; 
▪ Determinar e implementar as ações corretivas; ▪ Registrar os resultados das 
ações executadas; e ▪ Analisar criticamente as ações corretivas. 
11.2. Ação preventiva 
 A organização deve: 
▪ Determinar ações para eliminar as causas de não-conformidades potenciais 
com os requisitos do SGSI, de forma a evitar a sua ocorrência. 
▪ Identificar mudanças nos riscos. 
▪ Identificar requisitos de ações preventivas focando a atenção nos riscos 
significativamente alterados. 
 
 As ações preventivas devem: 
▪ Ser apropriadas aos impactos dos potenciais problemas. 
▪ Ter seus procedimentos documentados com requisitos para: 
o Identificar não-conformidades potenciais e suas causas; 
o Avaliar a necessidade de ações para evitar a ocorrência de 
nãoconformidades; 
o Determinar e implementar as ações preventivas; o Registrar os resultados 
de ações; e o Analisar criticamente as ações preventivas. 
 
 A prioridade de ações preventivas deve ser determinada com base nos 
resultados da análise/avaliação de riscos. 
 
 
 Página 35 de 66 
OBSERVAÇÃO IMPORTANTE: 
▪ Quem não conhece aquele velho ditado: “prevenir é melhor que remediar”. 
Na área de segurança devemos levar este lema como uma premissa. Por 
isso, ações preventivas frequentemente têm melhor custobenefício que as 
corretivas. 
 
OBSERVAÇÕES ADICIONAIS: 
▪ Vamos começar pela parte ruim. Agora vamos adentrar em uma parte que 
considero um mal necessário, que são os anexos da ISO 27001. Pensei até 
em não coloca-los em nossa aula, mas nunca se sabe completamente o que 
o examinador está pensando ou julga importante, vai que o cidadão coloca 
uma questão dessas. 
▪ Como todo assunto tem também pelo menos uma parte boa. Como podem 
observar pela “incidência” de questões, esta parte ainda não foi cobrada 
em provas da FCC. ▪ Respirem fundo, vamos lá. 
 
12. Objetivos de controle e controles 
 Uma organização pode adicionar, se julgar necessário, objetivos de controle e 
controles adicionais aos já existentes na tabela abaixo. 
 Os objetivos de controle e controles da tabela abaixo devem ser selecionados 
como parte do processo de SGSI. Então vamos a eles: 
 
 
 Página 36 de 66 
 
 
 Página 37 de 66 
 
 
 
 Página 38 de 66 
 
 
 Página 39 de 66 
 
 
 Página 40 de 66 
 
 
 
 
 
 
 
 Página 41 de 66 
 
 
 
13 . (CESPE - 2013 - TRE / MS) Para proteger uma área que abriga recursos de processamento 
da informação, um órgão público, com base na nor ma ABNT NBR ISO/IEC 27001, instalou 
uma porta com controle de acesso por cartão, de modo a que somente os colaboradores 
previamente autorizados possam acessar esse ambiente. 
Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adota da pelo 
órgão público associa - se 
a) à validação de dados de saída. 
b) ao controle de vulnerabilidades. 
c) ao controle contra códigos móveis. 
d) ao controle de perímetro de segurança física. 
e) à coordenação de segurança da informação. 
Comentário: 
 
Gabarit o: D 
 
 Página 42 de 66 
 
 
 
 
 
 
 
 Página 43 de 66 
 
 
 
14 . (CESPE - 2013 - CNJ) Acerca da gestão de segurança da informação, conforme as normas 
da ABNT, julgue os itens a seguir. 
A segurança física e do ambiente é descrita na norma ABNT NBR ISO/IEC 27001, que 
estabelece orientação para seguranç a dos cabeamentos de energia e de telecomunicações, 
destacando o modo como esses cabeamentos devem ser protegidos contra interceptação 
ou danos. 
( ) Certo ( ) Errado 
Comentário: 
Observe a referência d o assunto da ISO 27001, em nenhum momento ela mostra o modo 
como esses cabeamentos devem ser protegidos , por isso a questão está errada. 
 
Gabarito: ER RAD O 
 
 Página 44 de 66 
 
 
 Página 45 de 66 
 
 
 Página 46 de 66 
 
 
 
 
 
 Página 47 de 66 
 
 
 
15 . ( CESPE - 2013 – CNJ) Acerca da gestão de segurança da informação, conforme as normas 
da ABNT, julgue os i tens a seguir. 
De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente 
disponibilizadas pela organização não requerem mecanismos de proteção para a sua 
visualização e modificação. 
( ) Certo ( ) Errado 
Comentário: 
 
Gabarito: ER RAD O 
 
 Página 48 de 66 
 
 
 
 
 
 Página 49 de 66 
Nossa, parece que esse suplício não vai mais acabar, aguentem só mais um 
pouco. Segue uma questão pra quebrar o clima e relaxar. 
 
16. (FCC - 2012 - TRT - 6ª Região/PE) Segundo a ISO/IEC 27001, em relação à Provisão de 
Recursos, a organização deve determinar e prover os recursos necessários para 
a) avaliar a necessidade de ações para assegurar que as não conformidades não 
ocorram. 
b) identificar os impactos que as perdas de confidencialidade, integridade e 
disponibilidade podem causar aos ativos. 
c) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras 
e fornecedores. 
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI. 
e) desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de 
risco. 
Comentário: 
Observe o tópico acima. 
 A organização deve determinar e prover os recursos necessários para: 
▪ Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e 
melhorar um SGSI; 
▪ Assegurar que os procedimentos apoiam os requisitos de negócio; ▪ 
Identificar e tratar os requisitos legais e regulamentares e obrigações 
contratuais; 
▪ Manter a segurança da informação adequada; 
▪ Realizar análises críticas; 
▪ Reagir adequadamente aos resultados das análises críticas; e ▪ Melhorar a 
eficácia do SGSI. 
Gabarito: D 
 
 
 
 
 Página 50 de 66 
 
 
 Página 51 de 66 
 
 
 
 Página 52 de 66 
 
 
 
 
 Página 53 de 66 
 
 
 Página 54 de 66 
 
 
 Página 55 de 66 
 
 
 
 Página 56 de 66 
 
 
13. Princípios da OECD e o modelo PDCA descrito da ISO 27001 
 Primeiro o que é OECD? 
▪ A Organização para a Cooperação e Desenvolvimento Econômico é uma 
organização internacional composta por de 34 países que aceitam os princípios 
da democracia representativa e da economia de livre mercado, que procura 
fornecer uma plataforma para comparar políticas econômicas, solucionar 
problemas comuns e coordenar políticas domésticas e internacionais. 
 Mais o que essa Organização tem a ver com segurança da informação e 
principalmente com o nosso contexto? 
 
17 . (CESPE - 2013 - SERPRO) Com base nas normas de segurança da informação, julgue o 
item seguinte. 
De acordo com a norma ISO 27001, a gestão de riscos é um processo que inclui prevenção, 
detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todas 
essas etapas são contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir 
( Act ). 
( ) Certo ( ) Errado 
Comentário: 
Gestão de segurança : 
 
Gabarito: C ER T O 
 
 Página 57 de 66 
▪ Os princípios definidos pelas Diretrizes de OECDpara a Segurança de Sistemas 
de Informação e Redes aplicam-se para toda a política e níveis operacionais que 
governam a segurança de sistemas de informação e redes. ▪ A ISO 27001 provê 
uma estrutura de um sistema de gestão de segurança da informação para 
implementar alguns dos princípios da OECD que usam o modelo PDCA e os 
processos descritos nos itens (Já vistos em nossa aula de hoje): 
o Sistema de gestão de segurança da informação; 
o Responsabilidades da direção; o Auditorias 
internas do SGSI; e o Melhoria do SGSI. 
 Os princípios estão descrito na tabela abaixo: 
 
 
 
 Página 58 de 66 
14. Correspondência entre as ISO 9001, 14001 e 27001 
Vamos acabar logo com esse sofrimento, observe a correspondência na tabela 
abaixo: 
 
 
18. (CESPE - 2012 -TRE/RJ) A política de segurança da informação integra o SGSI e a diretriz 
para a implementação dessa política é detalhada na referida norma. 
( ) Certo ( ) Errado 
Comentário: 
A ISO 27001 possui os requisitos para aplicação do SGSI. As diretrizes são definidas pela ISO 
27002. Portanto a questão está errada. 
 Gabarito: ERRADO 
 
 
 Página 59 de 66 
 
 
 
19. (CESPE - 2008 – SERPRO) A respeito das normas de segurança da informação, julgue o 
 
 Página 60 de 66 
item subsequente. 
A ISO/IEC 27001:2006 é a principal norma de mercado acerca de aspectos operacionais 
tecnológicos que devem ser implementados nos servidores de arquivos e equipamentos de 
conectividade, para controle de acesso de usuários maliciosos. ( ) Certo ( ) Errado 
Comentário: 
Na NBR ISO/IEC 27001 os controles de segurança são apenas citados e são muito 
abrangentes, e podem ter várias interpretações. Já a NBR ISO/IEC 27002 contem todos os 
controles que 27001 só que com explicações e exemplos de implementação. 
Gabarito: ERRADO 
 
 
15. Lista das Questões Utilizadas na Aula. 
1. (FCC - 2011 - TRT - 14ª Região - RO e AC) Estabelecer a política, objetivos, processos e 
procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da 
informação para produzir resultados de acordo com as políticas e objetivos globais de uma 
organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta 
definição pertence a 
a) planejar. 
b) agir. 
c) fazer. 
d) confidencializar. 
e) checar. 
 
2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do 
sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) 
equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do 
SGSI. 
( ) Certo ( ) Errado 
 
 
 Página 61 de 66 
3. (FCC - 2011 - TRT - 4ª REGIÃO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre 
organizações do tipo 
a) comerciais, somente. 
b) governamentais, somente. 
c) sem fins lucrativos, somente. 
d) comerciais e governamentais, somente. 
e) comerciais, governamentais e sem fins lucrativos. 
 
4. (CESPE - 2012 - Banco da Amazônia) A respeito de aspectos gerais da norma ABNT 
NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre 
que empregada, refere-se a sistema de gestão da segurança da informação 
De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve 
ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas 
responsáveis por eles. 
( ) Certo ( ) Errado 
 
5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção 
correta acerca de definições relacionadas à gestão de segurança da informação. 
a) O sistema de gestão da segurança da informação (SGSI), componente do sistema de 
gestão global que se fundamenta na abordagem de riscos do negócio, é responsável pelo 
estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e 
melhoramento da segurança da informação. 
b) Gestão de riscos consiste no processo de comparar o risco estimado com os critérios 
de risco predefinidos, a fim de determinar a importância do risco. 
c) Evento de segurança da informação é um evento (ou uma série de eventos) que ocorre 
de maneira indesejada ou inesperada, podendo comprometer as operações do negócio e 
ameaçar a segurança da informação. 
d) O incidente de segurança da informação consiste em um incidente que, caso seja 
identificado em um estado de sistema, serviço ou rede, indica a ocorrência de uma possível 
violação da política de segurança da informação, bem como de uma falha de controles ou de 
uma situação previamente desconhecida que possa ser relevante à segurança da informação. 
 
 Página 62 de 66 
e) Confidencialidade corresponde à propriedade de classificar uma informação sigilosa 
como confidencial. 
 
6. (FCC - 2011 - TRT - 1ª REGIÃO (RJ) De acordo com a NBR ISO/IEC 27001, integridade é 
a) a propriedade de a informação estar acessível e utilizável sob demanda por uma entidade 
autorizada. 
b) a propriedade de que a informação não esteja disponível ou revelada a indivíduos, 
entidades ou processos não autorizados. 
c) a possível violação da política de segurança da informação ou falha de controles. 
d) a propriedade de salvaguarda da exatidão e completeza de ativos. 
e) qualquer coisa que tenha valor para a organização. 
 
7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicáveis 
ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e 
conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como 
controlar, evitar, transferir ou aceitar tais riscos. 
( ) Certo ( ) Errado 
 
8. (FCC - 2013 - TRT - 18ª Região/GO) A Norma NBR ISO/IEC 27001:2006, na seção que 
trata do estabelecimento e gerenciamento do SGSI, orienta que a organização deve definir 
uma política do SGSI nos termos das características do negócio, sua localização, ativos e 
tecnologia que observe as características listadas abaixo, EXCETO: a) obtenha a autorização 
dos stakeholders (partes interessadas). 
b) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e 
princípios para ações relacionadas com a segurança da informação. 
c) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança 
contratuais. 
d) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o 
estabelecimento e manutenção do SGSI irão ocorrer. 
e) estabeleça critérios em relação aos quais os riscos serão avaliados. 
 
 
 Página 63 de 66 
9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a 
organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia 
da informação e a abordagem para a avaliação de riscos. 
( ) Certo ( ) Errado 
 
10. (FCC - 2012 - TJ/PE) A eficácia dos controles para verificar se os requisitos de segurança 
da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da 
Informação (SGSI), nas fases 
a) estabelecer e gerenciar o SGSI. 
b) monitorar e analisar criticamente o SGSI. 
c) planejar e implantar o SGSI. 
d) implementar e operar o SGSI. 
e) manter e melhorar o SGSI. 
 
11. (FCC - 2012 - TRT - 11ª Região/AM) Segundo a norma ISO 27001, para se estabelecer o 
Sistema de Gestão de Segurança da Informação (SGSI), considere: 
I. A organização deve definir uma política do SGSI nos termos das características do 
negócio, a organização, sua localização, ativos e tecnologia que esteja alinhada com o 
contexto estratégico de gestão de riscos da organização no qual o estabelecimento e 
manutenção do SGSI irão ocorrer. 
II. A organização deve definir a abordagem de análise/avaliação de riscos da organização 
e desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveisde risco. III. 
Identificar e avaliar as opções para o tratamento de riscos, sendo uma possível ação aceitar 
os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da 
organização e aos critérios de aceitação de riscos. Está correto o que se afirma em a) I e II, 
apenas. 
b) I e III, apenas. 
c) II, apenas. 
d) III, apenas. 
e) I, II e III. 
 
 Página 64 de 66 
 
12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo 
conceitual sistêmico da norma ABNT NBR ISO/IEC 27001, julgue o item. 
Entre os documentos e registros cujo controle é demandado pela ISO 27001, destacam-se 
como documentos a declaração da política de segurança, o relatório de análise/avaliação de 
risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de 
visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros 
registros, inclusive de não conformidade. 
( ) Certo ( ) Errado 
 
13. (CESPE - 2013 - TRE/MS) Para proteger uma área que abriga recursos de 
processamento da informação, um órgão público, com base na norma ABNT NBR ISO/IEC 
27001, instalou uma porta com controle de acesso por cartão, de modo a que somente os 
colaboradores previamente autorizados possam acessar esse ambiente. 
Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adotada pelo 
órgão público associa-se 
a) à validação de dados de saída. 
b) ao controle de vulnerabilidades. 
c) ao controle contra códigos móveis. 
d) ao controle de perímetro de segurança física. 
e) à coordenação de segurança da informação. 
 
14. (CESPE - 2013 - CNJ) Acerca da gestão de segurança da informação, conforme as normas 
da ABNT, julgue os itens a seguir. 
A segurança física e do ambiente é descrita na norma ABNT NBR ISO/IEC 27001, que 
estabelece orientação para segurança dos cabeamentos de energia e de telecomunicações, 
 
 Página 65 de 66 
destacando o modo como esses cabeamentos devem ser protegidos contra interceptação ou 
danos. 
( ) Certo ( ) Errado 
 
15. (CESPE - 2013 – CNJ) Acerca da gestão de segurança da informação, conforme as normas 
da ABNT, julgue os itens a seguir. 
De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente 
disponibilizadas pela organização não requerem mecanismos de proteção para a sua 
visualização e modificação. 
( ) Certo ( ) Errado 
 
16. (FCC - 2012 - TRT - 6ª Região/PE) Segundo a ISO/IEC 27001, em relação à Provisão de 
Recursos, a organização deve determinar e prover os recursos necessários para 
a) avaliar a necessidade de ações para assegurar que as não conformidades não ocorram. 
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade 
podem causar aos ativos. 
c) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e 
fornecedores. 
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um 
SGSI. 
e) desenvolver critérios para a aceitação de riscos e identificar níveis aceitáveis de risco. 
 
17. (CESPE - 2013 - SERPRO) Com base nas normas de segurança da informação, julgue o 
item seguinte. 
De acordo com a norma ISO 27001, a gestão de riscos é um processo que inclui prevenção, 
detecção e resposta a incidentes, atuação, manutenção, análise crítica e auditoria. Todas 
essas etapas são contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir 
(Act). 
( ) Certo ( ) Errado 
 
 
 Página 66 de 66 
18. (CESPE - 2012 -TRE/RJ) A política de segurança da informação integra o SGSI e a diretriz 
para a implementação dessa política é detalhada na referida norma. ( ) Certo ( ) Errado 
 
19. (CESPE - 2008 – SERPRO) A respeito das normas de segurança da informação, julgue o 
item subsequente. 
A ISO/IEC 27001:2006 é a principal norma de mercado acerca de aspectos operacionais 
tecnológicos que devem ser implementados nos servidores de arquivos e equipamentos de 
conectividade, para controle de acesso de usuários maliciosos. ( ) Certo ( ) Errado 
 
16. Gabarito. 
1. A 11. E 
2. ERRADO 12. CERTO 
3. E 13. D 
4. CERTO 14. ERRADO 
5. A 15. ERRADO 
6. D 16. D 
7. ERRADO 17. CERTO 
8. A 18. ERRADO 
9. ERRADO 19. ERRADO 
10. B

Outros materiais