Questão sobre ISO 27002 - Segurança da Informação

Question 1

A Norma ABNT NBR ISO/IEC 27002:2013 recomenda que as políticas de segurança da informação considerem requisitos
oriundos de estratégias do negócio, de ambientes de ameaça à segurança da informação (atuais e futuros) e de

Accepted Answer

regulamentações, legislação e contratos.

Answer

sistemas de informação atuais e legados.

Answer

auditorias internas e externas de segurança da informação.

Answer

consultorias terceirizadas de segurança da informação.

Answer

gestão de pessoas e ativos de informação.

Question 2

Uma das seções de controle de segurança da informação é a
Segurança em Recursos Humanos. Ela busca assegurar, dentre
outros objetivos, que os funcionários e as partes externas
estejam conscientes e cumpram suas responsabilidades pela
segurança da informação.
De acordo com a ABNT NBR ISO/IEC 27002:2013, seção
Segurança em Recursos Humanos, durante a contratação convém
implementar o controle

Accepted Answer

do processo disciplinar.

Answer

do acesso ao código-fonte de programas.

Answer

dos registros de eventos (log) de administrador e operador.

Answer

do gerenciamento de mídias removíveis.

Answer

do proprietário dos ativos.

Question 3

Janaína pretende padronizar seus procedimentos de controle de
acesso, com base na norma ISO 27002. A parte referente ao
controle de acesso privilegiado cita, de forma geral, que o acesso
deve ser restrito e controlado e que se institua um processo
formal de concessão de privilégios.
Para que Janaína implemente o controle de acesso privilegiado
convém considerar que:

Accepted Answer

um processo de autorização e um registro de todos os privilégios concedidos sejam mantidos e que os direitos de acesso privilegiados não sejam concedidos até que todo o processo de autorização esteja finalizado.

Answer

os direitos de acesso privilegiados, associados a cada sistema ou processo, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedidos, não precisam de identificação.

Answer

os direitos de acesso privilegiado sejam concedidos a usuários conforme o grau hierárquico na empresa e com base em eventos alinhados com a política de controle de acesso, com base nos requisitos mínimos para sua função.

Answer

requisitos para manter, sem atualização, os direitos de acesso privilegiados sejam definidos.

Answer

os direitos de acesso privilegiados sejam atribuídos a um ID de usuário idêntico daqueles usados nas atividades normais do negócio e que as atividades normais do negócio não sejam desempenhadas usando contas privilegiadas.

Question 4

Dentro de uma política de desenvolvimento seguro, a norma
ABNT NBR ISO/IEC 27002:2013 recomenda que:

Accepted Answer

seja levada em consideração a segurança no controle de versões;

Answer

os aspectos de segurança sejam observados principalmente na fase de programação;

Answer

o desenvolvimento de software seja sempre executado por equipes internas;

Answer

todas as conexões não autenticadas devam ser criptografadas;

Answer

sejam previstos dois roteiros, um com foco em desenvolvimento e outro com foco em manutenção.

Question 5

Em relação à gestão dos ativos de informação, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que

Accepted Answer

os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização em termos do CID e que estes sejam atualizados de acordo com as mudanças do seu valor ao longo do seu ciclo de vida.

Answer

o ciclo de vida da informação inclua a sua criação, armazenamento, transmissão e, após a perda de sua validade, o acompanhamento até seu desaparecimento.

Answer

pessoas e outras entidades que tenham responsabilidades aprovadas pela direção para qualificar o ciclo de vida do ativo não sejam designadas como o proprietário deste ativo.

Answer

um funcionário ou partes externas nunca usem seu equipamento pessoal para trabalhar nas dependências da organização e que procedimentos sejam adotados para assegurar que toda a informação relevante não possa ser utilizada fora da organização e de seus equipamentos inventariados.

Answer

cada um dos ativos identificados tenha um proprietário indicado e também sejam indicados e assegurados todos os direitos de propriedade sobre o ativo.

Question 6

No processo de classificação e controle dos ativos de informação,

Accepted Answer

a desclassificação se refere à remoção do nível de proteção da informação. Este estágio somente se aplica quando o estado “não-classificado” estiver previsto. Um exemplo poderia ser um ativo governamental que após alguns anos ou décadas passa a ser automaticamente não-classificado ou tornado público.

Answer

o proprietário do ativo é o responsável pela classificação da informação, que é um recurso intangível, com base na análise e avaliação de riscos. Mesmo que a informação seja de baixo valor, seu nível de confidencialidade deve ser rotulado como alto.

Answer

o estágio de rotulagem é quando se atribui um nível de classificação a uma informação, fazendo com que a mesma passe a respeitar as proteções associadas ao nível de classificação escolhido. Nem todo ativo de informação deve ser classificado. Esta é uma regra da Norma ABNT NBR ISO/IEC 27001:2013.

Answer

não pode haver reclassificação de uma informação, pois isso colocaria em risco sua integridade e confidencialidade. Esta é uma regra da Norma ABNT NBR ISO/IEC 27002:2013.

Answer

um documento em papel de uma empresa classificado como Uso Interno deveria ser mantido em um armário trancado, circular internamente em envelopes lacrados e, caso fosse enviado para fora da organização, deveria ser por meios registrados e seguros.

Question 7

Em relação aos controles de acesso, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que

Accepted Answer

os proprietários dos ativos determinem regras apropriadas de controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados

Answer

os proprietários dos ativos sejam os responsáveis por definir a política de controle de acesso da organização, ficando responsáveis pela sua documentação e análise crítica com base nos requisitos de segurança da informação e dos negócios.

Answer

a política de controle de acesso da organização seja feita em documentos e por pessoas distintas, cada qual ficando responsável por elaborar os controles de acesso lógico, os controles de acesso físico e os controles operacionais de forma separada, visando mitigar os riscos de segurança da informação.

Answer

seja estabelecida a regra “tudo é permitido a menos que expressamente proibido”, que é mais forte que a regra “tudo é proibido a menos que expressamente permitido”.

Answer

seja contemplada a regra geral para todos os perfis de acesso “você não tem permissão para acessar nenhuma informação” para que somente o proprietário da informação possa liberar o acesso à informação quando esta for necessária ao desempenho da função.

Question 8

A Norma ISO 27002 define o código de prática para a gestão
da segurança da informação.
Dentre as recomendações de segurança, o controle de acesso
à rede recomenda implantar ações de controle para que

Accepted Answer

métodos apropriados de autenticações sejam usados para controlar acesso de usuários remotos.

Answer

concessão e uso de privilégios sejam restritos e controlados.

Answer

sistemas sensíveis tenham um ambiente computacional dedicado (isolado).

Answer

sessões inativas sejam encerradas após um período definido de inatividade.

Answer

eventos de segurança da informação sejam relatados através dos canais apropriados da direção.

Question 9

A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a necessidade, as prioridades e o grau de proteção.Com base nesse objetivo, a norma estabelece diretrizes para essa classificação, entre as quais se inclui a de

Accepted Answer

rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais, segundo seu valor e sensibilidade para a organização.

Answer

atribuir o processo de revisão do nível de confidencialidade de um documento à alta gerência.

Answer

manter a responsabilidade pela atribuição do nível de confidencialidade de um documento com o setor de TI.

Answer

manter os rótulos de classificação originais nos documentos oriundos de outras organizações.

Answer

manter o princípio de equidade que garante aos funcionários com funções similares o mesmo direito de acesso às informações classificadas.

Question 10

A norma ISO/IEC 27002:2005 compreende onze seções principais. A subseção referente ao
manuseio de mídias (gerenciamento de mídias removíveis, descarte de mídias, procedimentos
para tratamento de informação e segurança da documentação dos sistemas) pertence a qual
seção principal?

Accepted Answer

Gerenciamento das operações e comunicações

Answer

Segurança física e do ambiente

Answer

Gestão de ativos

Answer

Controle de acesso

Answer

Aquisição, desenvolvimento e manutenção de sistemas de informação

Questões de concursos sobre "ISO 27002" | Segurança da Informação - página 1

Q14089 - FCC Auditor Fiscal de Tributos I - Tecnologia da Informação (TI) 2018

Q14098 - FGV Analista do Ministério Público - Administrador de Rede 2018

Q14106 - FGV Analista do Ministério Público - Administrador de Rede 2018

Q14143 - FGV Analista em Tecnologia da Informação - Desenvolvimento de Sistemas 2018

Q14151 - FCC Analista de Gestão - Sistemas 2018

Q14152 - FCC Técnico em Gestão 01 - Informática 2018

Q14154 - FCC Técnico em Gestão 01 - Informática 2018

Q14176 - CESGRANRIO Analista de Sistemas Júnior - Processos de Negócio 2018

Q14188 - CESGRANRIO Analista de Sistemas Júnior - Processos de Negócio 2018

Q14195 - COPERVE - UFSC Analista de Tecnologia da Informação 2018