Questões de Concursos Norma Iso 27001

Julgue os itens subsequentes, a respeito das atribuições de uma organização no que se refere ao sistema de gestão da segurança da informação (SGSI), de acordo com a norma ISO/IEC 27001.
Ao estabelecer o SGSI, a organização deve identificar os riscos e as ameaças; para isso, ela deverá identificar e registrar em documento os proprietários dos ativos dentro do escopo do SGSI, ou seja, as pessoas que têm o direito de propriedade sobre o ativo.

A norma ABNT NBR ISO/IEC 27001:2006 promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização. O modelo PDCA aplicado aos processos do SGSI é assim descrito pela Norma:

Grupo I: - Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação, para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Grupo II:−Implementar e operar a política, controles, processos e procedimentos do SGSI.

Grupo III: - Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

Grupo IV: - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

A associação correta dos grupos I, II, III e IV com o ciclo PDCA é apresentada em:

Essa norma evita explicitamente a definição de atividades que determinam o status da segurança da informação da organização, deixando essa atividade sob observação da alta administração da organização.

A referida norma prevê a definição de novos processos de gerenciamento de segurança da informação.

A definição de requerimentos e objetivos de segurança na ISO 27001 cita que é necessário utilizar a norma ISO 27002, que trata de processos de negócios.

A ISO 27001 pode ser utilizada como referência por auditores externos à organização para verificar o nível de conformidade das políticas de segurança.

A norma mencionada não prevê a disseminação de informação acerca de segurança para clientes externos à organização.

A ISO/IEC 27001:2006 apresenta requisitos operacionais de segurança da informação que devem ser implementados nos servidores de arquivos e equipamentos de conectividade, para controle de acesso de usuários maliciosos.