Aula 08 - SEGURANÇA DA INFORMAÇÃO SEGUNDO A NBR ISO 27001

Prévia do material em texto

1.
Corrigidas e Preventivas
Corretivas e Preventivas
Corretivas e Corrigidas
Prevenção e Preventivas
Corretivas e Correção
2.
Apenas I
Apenas III
I, II e III
Apenas I e III
Apenas II
3.
Controle de registros, responsabilidade da direção, melhoria do SGSI e auditorias internas
Responsabilidade da direção, auditorias internas, controle de registros, sistema de gestão de segurança da informação.
Sistema de gestão de segurança da informação, classificação da informação, auditoria internas e análise de risco.
Sistema de gestão de segurança da informação, análise de risco, auditorias internas e melhoria do SGSI
Sistema de gestão de segurança da informação, responsabilidade da direção, análise crítica do SGSI pela direção e Melhoria 
do SGSI
4.
Correção.
Reação.
Preventiva.
Limitação.
Recuperação .
5.
Corretivas e Corrigidas.
Corretivas e Correção.
Prevenção e Preventivas.
Corrigidas e Preventivas.
Corretivas e Preventivas.
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da 
política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de 
ações:
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das organizações. Nessa 
norma é apresentado os requisitos necessários que uma organização necessitará na estruturação de seu sistema de gestão da 
segurança da informação. Sobre essa norma analise as afirmativas abaixo:
I-Estabelece os limites e critérios para definir quais os riscos que serão avaliados;
II-A norma ISO/IEC 27001 é certificadora, o que significa que é utilizada por institutos credenciados em diversos países.
III-A norma NBR ISO/IEC 27001 também apresenta como objetivo especificar os requisitos de um Sistema de Gestão de 
Segurança da Informação (SGSI), que é baseado nos riscos da organização.
 
Assinale a opção que contenha apenas afirmações corretas:
Independente do tamanho, da natureza e do tipo da organização, os requisitos definidos pela norma são genéricos e podem ser 
aplicados a todas as organizações. Entretanto existem quatro itens que são obrigatórios de implementação da norma ISO/IEC 
27001 em qualquer organização:
A utilização de crachás de identificação de colaboradores numa organização está fundamentalmente associado a que tipo de 
proteção ?
A organização deve executar ações para melhorar continuamente a eficácia do SGSI. Estas ações ocorrem através: do uso da 
política de segurança, dos objetivos de segurança, resultados de auditorias, da análise dos eventos monitorados e através de 
ações:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
6.
Nenhuma das opções anteriores.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e 
políticas de segurança estabelecidos.
Nesta etapa são colocadas em prática as ações corretivas e preventivas que foram identificadas nas 
etapas anteriores.
Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta
etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
Esta etapa implementa através de programas de conscientização e treinamento para os funcionários 
em relação as operações e recursos do SGSI.
7.
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de 
segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não 
burocratizar o funcionamento das áreas.
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de 
processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da 
informação.
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar 
um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
8.
II.
III e IV.
II e III.
I e III.
I e II.
3.
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os 
processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma 
ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente 
para os problemas.
Sobre a etapa "PLAN" do ciclo PDCA, qual alternativa descreve essa etapa:
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a 
aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-
Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase 
"Plan" é:
Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e 
um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI 
documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, 
independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos 
critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas 
responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e
inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em:
Não se pode dizer que há segurança da informação, a menos que ela seja controladae gerenciada. A segurança da informação é 
um processo que visa minimizar os riscos a níveis aceitáveis. Um Sistema de Gerenciamento de Segurança da Informação (SGSI),
é uma série de ações tomadas com o objetivo de gerenciar a segurança da informação, incluindo pessoas, infraestrutura e 
negócios, reduzindo os riscos a um nível aceitável, enquanto mantém em perspectiva os objetivos do negócio e as expectativas 
do cliente.Para estabelecer o SGSI- SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - a organização deve inicialmente 
definir:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
A política do BIA.
A abordagem de análise/avaliação das vulnerabilidades da organização.
Identificar, Analisar e avaliar os riscos.
A politica de gestão de continuidade de negócio.
Identificar e avaliar as opções para o tratamento das vulnerabilidades.
5.
A avaliação dos riscos e incidentes desejados
Os resultados das auditorias anteriores e análises críticas
A realimentação por parte dos envolvidos no SGSI
Vulnerabilidades ou ameaças não contempladas adequadamente nas análise/avaliações de risco anteriores
A avaliação das ações preventivas e corretivas
6.
implementou um sistema para gerência da segurança da informação de acordo fundamentado nosdesejos de segurança 
dos Gerentes de TI.
implementou um sistema para gerência da segurança da informação de acordo com os desejos de segurança dos 
funcionários e padrões comerciais.
implementou um sistema para gerência da segurança da informação de acordo com os padrões e melhores práticas de 
segurança reconhecidas no mercado
implementou um sistema para gerência da segurança da informação de acordo com os padrões nacionais das empresas de 
TI.
implementou um sistema para gerência da segurança da informação de acordo com os padrões de segurança de empresas 
de maior porte reconhecidas no mercado.
7.
Especificar a forma de medir a eficácia dos controles de modo a produzir resultados comparáveis.
Definir e medir a eficácia dos controles ou grupos de controle selecionados.
Especificar os requisitos necessários para o estabelecimento, implementação, operação, monitoração, análise crítica, 
manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI) dentro do contexto dos riscos de 
negócio da organização.
Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações.
Avaliar a probabilidade real de ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes
1.
Lógica, Administrativa e Contábil.
Lógica, Física e Programada.
Administrativa, Física e Lógica.
Administrativa, Contábil e Física.
Administrativa, Física e Programada.
A organização deve analisar criticamente seu SGSI em intervalos planejados para assegurar a sua contínua pertinência, 
adequação, eficácia, oportunidade de melhoria ou necessidade de mudanças. Qual das opções abaixo Não poderá ser 
considerada como um elemento para a realização desta análise:
A certificação de organizações que implementaram a NBR ISO/IEC 27001 é um meio de garantir que a organização certificada:
Após a implantação do Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001, a 
equipe de técnicos em informática da organização XPTO deve Monitorar e Analisar criticamente o SGSI, que compreende a 
atividade de:
Segundo os conceitos de Segurança da Informação as proteções são medidas que visam livrar os ativos de situações que 
possam trazer prejuízo. Neste contexto qual das opções abaixo apresenta os tipos proteção possíveis de serem aplicadas às 
organizações?
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
2.
Apenas III
Apenas II e III
I, II e III
Apenas I e III
Apenas I 
3.
Nesta etapa implementa-se através de programas de conscientização e treinamento para os 
funcionários em relação as operações e recursos do SGSI.
É realizado o monitoramento e avaliação do sistema SGSI a fim de analisar a eficácia dos controles e políticas de segurança 
estabelecidos.
Nenhuma das opções anteriores.
Estabelece uma política, metas e processos de um sistema de gestão da segurança da informação. Esta
etapa deve definir os critérios para a aceitação dos riscos e qual nível de aceitação.
São colocadas em prática as ações corretivas e preventivas que foram identificadas nas etapas anteriores.
3.
A organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não 
burocratizar o funcionamento das áreas.
Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, implementar 
um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI.
Os procedimentos de análise críticas da eficácia do SGSI, devem levar em consideração os resultados das auditorias de 
segurança, dos incidentes de segurança, dos resultados das medições e sugestões.
A norma ISO/IEC 27001 aborda de forma sistemática a proteção e gestão da segurança da informação das 
organizações. Nessa norma é apresentado os requisitos necessários que uma organização necessitará na 
estruturação de seu sistema de gestão da segurança da informação. Sobre essa norma analise as 
afirmativas abaixo:
I-Nesta norma podemos incorporar a classificação dos riscos quanto aos possíveis danos causados, e assim 
implantar controles para minimizá-los
II-A norma não possibilita que as organizações no mundo todo possam se certificar de suas práticas de 
gestão de segurança da informação.
III-A norma fornece suporte para que as organizações possam utilizar as melhores técnicas de 
monitoramento e controles, que envolvam recursos tecnológicos e humanos.
 
Assinale a opção que contenha apenas afirmações corretas:
A norma ABNT NBR ISO/IEC 27001 adota o ciclo PDCA (Plan, Do, Check, Act) a fim de estruturar todos os 
processos envolvidos em um sistema de gestão da segurança da informação. O ciclo PDCA é uma 
ferramenta de gestão que promove uma melhora nos processos da organização e uma solução eficiente 
para os problemas.
Em relaçao a etapa "Check", qual das alternativas abaixo descreve essa etapa:
A norma ISO 27001:2005 adota uma abordagem de processo para o estabelecimento e relacionamento com o SGSI, ou seja, a 
aplicação de um sistema de processos, a identificação e iterações destes processos, e a sua gestão e utiliza como modelo o Plan-
Do-Check-Act (PDCA), aplicado para estruturar todos os processos do SGSI. Podemos dizer que uma das características da fase 
"Plan" é:
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
https://simulado.estacio.br/bdq_simulados_exercicio.asp#
O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia.
A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de 
processamento, identificar as tentativas e violações de segurança bem-sucedida, e os incidente de segurança da 
informação.