Questão: Com relação à ISO 27002, assinale a opção correta....

Após identificar os requisitos de segurança da informação e os riscos a que uma organização está exposta, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável, pois, segundo a norma, por meio do controle gerencia-se o risco.

A segurança da informação objetiva a preservação da confidencialidade, integridade e disponibilidade da informação. Cada categoria principal de segurança da informação contém um ou mais objetivos de controle que definem o que deve ser alcançado, além de um controle que pode ser aplicado para que os objetivos sejam alcançados.

Considera-se ativo tudo que tenha valor para a organização. São exemplos de ativos de informação os aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.

Diretriz é a descrição que orienta o que deve ser feito e como deve ser feito, de modo a se alcançar os objetivos estabelecidos. Quanto às diretrizes para comércio eletrônico da norma em questão, as considerações podem ser implementadas pela aplicação de controles criptográficos de chave assimétrica, não sendo recomendada a utilização de chaves simétricas.

A referida norma recomenda o desenvolvimento e a implementação de uma política para avaliação e uso de controles criptográficos que, em conjunto com a análise e avaliação de riscos, são ações independentes que auxiliam na escolha dos controles de modo mais amplo.