Questões de concursos sobre "Norma ISO 27001" | Segurança da Informação - página 1

Definir os procedimentos e tarefas adequados à mitigação de riscos no âmbito de um sistema de gestão de segurança da informação.

Definir os requisitos necessários para estabelecer, implementar, manter e melhorar de forma contínua um sistema de gestão de segurança da informação.

Estabelecer os papéis, responsabilidades e atuação dos profissionais de segurança da informação numa organização.

Orientar e alertar as organizações e seus respectivos profissionais em diversos aspectos relativos à gestão de segurança da informação.

Prover uma coleção de artefatos tecnológicos que permitam a identificação, avaliação e eliminação de ataques aos ativos de segurança da informação.

O controle criptográfico tem por finalidade proteger a confidencialidade, autenticidade ou integridade das informações por meio da validação de dados de entrada e de saída.

A norma adota o modelo PDCA (Plan-Do-Check-Act) para estruturar todos os processos do SGSI.

Os controles da norma são apresentados como boas práticas para que a organização adote uma postura proativa e preventiva diante de requisitos e necessidades da segurança da informação.

O objetivo da política de segurança da informação é prover orientação e apoio à direção, para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A segurança física e do ambiente tem por objetivo prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.

evitar reagir à não conformidade de modo a controlá-la ou corrigi-la;

aceitar que impactos adversos podem ocorrer na operação e esperar que não volte a se repetir;

impedir mudanças no Sistema de Gestão de Segurança da Informação para assegurar que auditorias internas possam ser realizadas;

determinar se não conformidades similares existem, ou podem potencialmente ocorrer;

forçar sua repetição ou ocorrência para comunicar às partes interessadas de forma apropriada.

o proprietário do ativo é o responsável pela classificação da informação, que é um recurso intangível, com base na análise e avaliação de riscos. Mesmo que a informação seja de baixo valor, seu nível de confidencialidade deve ser rotulado como alto.

o estágio de rotulagem é quando se atribui um nível de classificação a uma informação, fazendo com que a mesma passe a respeitar as proteções associadas ao nível de classificação escolhido. Nem todo ativo de informação deve ser classificado. Esta é uma regra da Norma ABNT NBR ISO/IEC 27001:2013.

não pode haver reclassificação de uma informação, pois isso colocaria em risco sua integridade e confidencialidade. Esta é uma regra da Norma ABNT NBR ISO/IEC 27002:2013.

um documento em papel de uma empresa classificado como Uso Interno deveria ser mantido em um armário trancado, circular internamente em envelopes lacrados e, caso fosse enviado para fora da organização, deveria ser por meios registrados e seguros.

a desclassificação se refere à remoção do nível de proteção da informação. Este estágio somente se aplica quando o estado “não-classificado” estiver previsto. Um exemplo poderia ser um ativo governamental que após alguns anos ou décadas passa a ser automaticamente não-classificado ou tornado público.

estabelecer uma PSI que atenda aos propósitos da Norma antes dos propósitos da organização.

definir os objetivos da segurança da informação para que a estrutura organizacional possa aplicá-los.

estabelecer uma PSI que inclua o comprometimento em satisfazer os requisitos da segurança da informação com base nos habilitadores do COBIT 5ª edição.

atribuir responsabilidade e autoridade para assegurar que o SGSI está em conformidade com os requisitos da Norma e para relatar o desempenho do SGSI dentro da organização e para a própria Alta Direção.

estabelecer uma PSI que inclua o comprometimento com a melhoria contínua do SGSI com base no estágio Melhoria Contínua da ITL v3 edição 2011.

somente I;

somente II;

somente III;

somente II e III;

I, II e III.

verificar o histórico de candidatos em processo de seleção antes da contratação.

criar processo disciplinar formal para punir funcionários que cometam infração de segurança da informação.

descartar qualquer tipo de mídia com informações confidenciais.

considerar a segurança da informação em qualquer tipo de projeto.

inclua o comprometimento com a melhoria contínua do SGSI.

reduza efeitos indesejados.

informe responsáveis por cada ativo de informação.

crie mecanismos de avaliação de riscos compatíveis com o framework Cobit 5.

manutenção dos direitos de acesso dos funcionários às informações e aos recursos de processamento quando da mudança de cargo desses funcionários.

restrição aos usuários em relação a qualquer acesso dos serviços da rede, com exceção dos proprietários de ativos.

uma política de controle de acesso baseada na verificação por amostragem dos usuários dos serviços.

responsabilização dos proprietários de ativos que devem revisar os direitos de acesso dos usuários em intervalos regulares.

um cadastro de solicitação de cancelamento a ser preenchido offline por todos os usuários quando do cancelamento do serviço.

Identificar ações de segurança de acesso dos usuários ao sistema, tais como biometria e política de senhas.

Identificar quais os riscos potenciais para o sistema e quais os responsáveis por tais riscos.

Solicitar dos usuários do sistema um histórico (log) de falhas relativas a suas interações anteriores com sistemas similares.

Bloquear os usuários que exibam histórico de riscos prováveis ao sistema.

Bloquear operações do sistema que exibam histórico de riscos prováveis ao sistema.