Questões de Concursos Política de Segurança

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A melhoria contínua do SGSI, assim como a análise crítica de sua implementação, faz parte da etapa DO (fazer) do PDCA aplicado ao processo.

A respeito da ISO/IEC 27005, julgue os itens subsecutivos.

Apesar de conter as diretrizes para implantar a gestão de riscos de segurança da informação, a referida norma não apresenta em seu conteúdo uma metodologia para a gestão de riscos.

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.

A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade.

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.

A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas. De acordo com a norma vigente, veda-se, por exemplo, responsabilizar um usuário por um ativo inventariado.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

Define-se evento como a combinação das consequências advindas da ocorrência de uma situação indesejada com a probabilidade de essa situação ocorrer.

Acerca de política de segurança da informação no contexto empresarial, julgue os itens a seguir.

Para a administração de uma política de segurança da informação, deverão ser realizadas análises de vulnerabilidades, relatórios de incidentes, verificação e comprometimento do desempenho do sistema, bem como verificação do apoio da direção, pois com base nessas análises é que serão tomadas as medidas necessárias à correção de falhas no sistema como um todo.

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.

As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos, mas não devem fazer parte do documento da política em si.

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.

Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade, integridade e disponibilidade, não havendo, nessa norma, indicação de parâmetros para outros tipos de requisitos a serem considerados.

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

A norma em apreço estabelece diretrizes e princípios para a segurança da informação, no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação, pois a implementação é de responsabilidade do SGSI.

A gestão de incidentes de segurança da informação de acordo com a Norma ISO/IEC 27002:2005 tem como objetivo assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil. Na notificação de eventos de segurança da informação, é necessário que os eventos de segurança da informação sejam relatados através de canais apropriados da direção, o mais rapidamente possível. É correto afirmar que, em suas diretrizes para implementação, os procedimentos devem incluir

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.

O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.

A norma referida recomenda que se realizem treinamento, educação e conscientização de pessoas apenas antes da contratação, para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles.

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.

A ação de se evitar um risco, de modo a eliminar a ocorrência de suas consequências e, naturalmente, a realização da atividade que o ocasionaria, não faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se toma, não ao que se evita.

Uma política de segurança para sistemas de computação define o que é seguro e o que é inseguro, e precisa ser reforçada por meio de mecanismos de segurança. Acerca dos conceitos de segurança da informação, julgue os itens a seguir.

A técnica de controle de acesso obrigatório consiste em negar a um usuário o pleno controle sobre os recursos que ele criou, enquanto que a técnica de controle de acesso discricionário permite ao criador de um recurso delegar a outro usuário todo o controle sobre um recurso criado pelo primeiro.

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.

Define-se a análise de impacto nos negócios — do inglês business impact analysis (BIA) — como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção.

A respeito dos conceitos de políticas, de normas e de modelos de segurança em TI, julgue os seguintes itens.

Acerca de parâmetros para criação de políticas de gerenciamento de senhas considera-se que: para sítios com baixa necessidade de segurança, é indicado que um usuário empregue uma senha comum a todos os sítios; a exigência de que usuários nunca escrevam a senha em um papel, pois esta atitude pode tornar difícil a gerência de senhas, havendo outras formas de garantir segurança que permitam o registro de senhas escritas; o aumento da frequência de troca de senhas, o que tende a diminuir a força das senhas empregadas.

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.

A grande contribuição da norma citada é o fato de ela destinar-se a todos os tipos de organizações, em qualquer país, que possuam a tecnologia da informação como a sua atividade-fim.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.