6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
(...)
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação.
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
A empresa não precisa elaborar uma declaração de aplicabilidade, pois isso não é exigido pela norma.
A empresa deve elaborar uma declaração de aplicabilidade, mas não é necessário justificar a inclusão ou exclusão de controles.
A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para inclusões, mas não é necessário justificar a exclusão dos controles do Anexo A.
A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para exclusões, sejam eles implementados ou não, bem como a justificativa para a inclusão dos controles do Anexo A.
Respostas
Ed 
há 7 meses
Analisando as opções apresentadas em relação ao item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013, podemos destacar que a norma realmente exige que a organização elabore uma declaração de aplicabilidade. Essa declaração deve conter os controles necessários e a justificativa para as inclusões e exclusões dos controles do Anexo A. Vamos analisar as alternativas: 1. A empresa não precisa elaborar uma declaração de aplicabilidade, pois isso não é exigido pela norma. - Incorreta, pois a norma exige a elaboração da declaração. 2. A empresa deve elaborar uma declaração de aplicabilidade, mas não é necessário justificar a inclusão ou exclusão de controles. - Incorreta, pois a norma requer justificativas. 3. A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para inclusões, mas não é necessário justificar a exclusão dos controles do Anexo A. - Incorreta, pois a norma exige justificativas tanto para inclusões quanto para exclusões. 4. A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A. - Correta, pois está de acordo com o que a norma exige. 5. A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para exclusões, sejam eles implementados ou não, bem como a justificativa para a inclusão dos controles do Anexo A. - Incorreta, pois inverte a ordem das justificativas. Portanto, a alternativa correta é: A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Crie sua conta grátis para liberar essa resposta. 🤩
Já tem uma conta?
Ao continuar, você aceita os Termos de Uso e Política de Privacidade
Ed
há 2 anos
A alternativa correta é: "A empresa deve elaborar uma declaração de aplicabilidade, que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A." Isso porque a norma ABNT NBR ISO/IEC 27001:2013, no item 6.1.3, estabelece que a organização deve elaborar uma declaração de aplicabilidade que contenha os controles necessários e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Ainda com dúvidas?
Envie uma pergunta e tenha sua dúvida de estudo respondida!
Mais perguntas desse material
Sobre bots e botnets, assinale a alternativa correta:
A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam.
Botnet é um software malicioso de monitoramento de rede que tem a função de furtar dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma grande carga de dados direcionados ao servidor da rede.
Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se propagar automaticamente.
Um computador infectado por um bot costuma ser chamado de attack base, pois serve de base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de spam host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque.
Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos, coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante.
A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer exclusivamente via redes do tipo P2P. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam.
Botnet é um software malicioso de monitoramento de rede que tem a função de furtar dados que transitam pela rede e, normalmente, tornar a rede indisponível disparando uma grande carga de dados direcionados ao servidor da rede.
Bot é um programa que dispõe de mecanismos de comunicação com o invasor e possui um processo de infecção e propagação igual ao do vírus, ou seja, não é capaz de se propagar automaticamente.
Um computador infectado por um bot costuma ser chamado de attack base, pois serve de base para o atacante estabelecer suas ações maliciosas. Também pode ser chamado de spam host, pois o bot instalado tem o objetivo de enviar infinitamente spams para a caixa de e-mail de quem é vítima do ataque.
Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos, coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como "Não-conformidade"?
Indica uma simples observação a ser feita
Não
Falta informação nessa checagem para classificar
Não se aplica a esta norma
Sim
Mais conteúdos dessa disciplina
Top 4 Legit Ways to Get Verified Binance Accounts for Personal Business _ 2025- Best 10 Sites to Buy Verified Neteller Accounts in This Year (2)
- Buy Verified PayPal Accounts_ Secure, Fast, and Reliable Service from SmmitZone
- Top 10 Website to Buy Gmail Accounts (PVA BULK)
- How Do I Purchase a Safely Verified Chime Bank Account
- How to Create a Verified Stripe Account in 2026_ Step-By-Step Guide to Success
- Buy Verified CashApp Account From Verified Seller
- Buy Verified PayPal Account From Verified Seller Stay Away From Scammer
- Pergunta 1 Com relação à LGPD e a Lei de Acesso à Informação (LAI) A aplicação da LAI sempre se sobrepõe à LGPD A aplicação da LGPD sempre se sobr...
- Pergunta 2 Com relação à LGPD e a Lei de Acesso à Informação (LAI) A aplicação da LAI sempre se sobrepõe à LGPD A aplicação da LGPD sempre se sobrepõ
- AS SITUAÇÕES PARA CLASSIFICAR E PRIORIZAR SÃO AS SEGUINTES: I. Vazamento no banheiro feminino do andar térreo e que atende os usuários da recepção. II
- Para garantir a efetividade e a legitimidade do uso das câmeras corporais, o Módulo 3 destaca a importância de: a. Permitir que cada policial defina s
- cuidados que o usuário deve ter ao entrar em um site
- Os programas de compliance exigem investimentos, como tempo e dinheiro, porém, o retorno será garantido, se certas ações forem efetivadas. Analise ...
- Armazenamento em nuvem permite: a) Acesso local apenas b) Compartilhamento via internet c) Funcionamento sem internet d) Exclusão automática de dados
- A fase de busca de evidências pode ser dividida em três etapas, são elas: Coleta de evidências, Live Analysis, Post Mortem Analysis Coleta de evidênci
- 1:18:50 Questão 8 Ainda não respondida Vale 1,0 ponto(s). Julgue os itens que seguem: I) A legitimidade para perpetrar ações judiciais com base na ...
- Marque a assertiva que NÃO representa um ponto de atenção em um Programa de Integridade: Questão 5Resposta a. Quantitativo de funcionários; b. Es...
- Um momento importante vivido pelo PMI é o processo recente de aproximação de práticas já conhecidas e aderentes ao gerenciamento de projetos tradicion
- Questão 01 A segurança na computação em nuvem é um aspecto fundamental que envolve diversas práticas e ferramentas para proteger os dados e garanti...
- Questão 10 Considere as seguintes asserções acerca da criptografia de chave pública e do algoritmo RSA: A criptografia de chave pública permite qu...
- TRABALHO ACADÊMICO - ANHANGUERA
- cisa-review-questions-answers-explanations