Questões de Concursos Políticas de Segurança de Informação

Resolva questões de Políticas de Segurança de Informação comentadas com gabarito, online ou em PDF, revisando rapidamente e fixando o conteúdo de forma prática.

Filtrar questões

💡 Caso não encontre resultados, diminua os filtros.

Ordenar por:

Mais recentes

1Q1053744 | Segurança da Informação, Políticas de Segurança de Informação, Analista Administrativo, HEMOBRÁS, Consulplan, 2025

Um analista de TI da Hemobrás foi encarregado de revisar a política de controle de acesso lógico da empresa. Durante essa análise, ele identificou que diversos usuários possuíam permissões de acesso irrestritas a sistemas críticos, sem qualquer revisão periódica. Além disso, alguns ex-funcionários ainda tinham credenciais ativas nos sistemas internos, mesmo após o desligamento da organização. Com base nas boas práticas de controle de acesso lógico, qual das medidas a seguir relacionadas deve ser priorizada para mitigar os riscos associados a esse cenário?

✂️ a) Permitir que funcionários solicitem aumento de privilégios conforme necessidade operacional, sem necessidade de avaliação prévia.
✂️ b) Manter todas as contas de usuários ativas indefinidamente, pois a revogação pode causar impacto na continuidade das operações.
✂️ c) Estabelecer um processo formal de revisão periódica dos acessos, garantindo que apenas usuários autorizados mantenham permissões ativas.
✂️ d) Definir que o gerenciamento de contas de usuário seja feito manualmente pelos gestores de cada setor, sem necessidade de um controle centralizado de TI.

2Q1047139 | Segurança da Informação, Políticas de Segurança de Informação, Análise de Sistemas, CIAAR, Aeronáutica, 2025

No que concerne à Norma ISO/IEC 27002, é incorreto afirmar que:

✂️ a) As políticas de segurança da informação devem ser revistas a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar sua utilidade contínua, adequação e eficácia.
✂️ b) Todos os empregados da organização e, onde relevante, fornecedores, devem receber conscientização, educação e treinamento apropriado.
✂️ c) Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema de classificação da informação adotado pela organização.
✂️ d) Uma política sobre o uso, proteção e ciclo de vida das chaves criptográficas deve ser desenvolvida e implementada, no entanto, sem a necessidade de considerar todo o seu ciclo de vida.

6Q1028333 | Segurança da Informação, Políticas de Segurança de Informação, Suporte e Infraestrutura, MPU, FGV, 2025

O diretor de TIC Bruno está implementando o Framework de Privacidade e Segurança da Informação no MPU de acordo com o Guia da Secretaria de Governo Digital. A metodologia para implementação desse framework é composta pela atuação de um Sistema de Controle Interno (SCI) que é dividido em linhas de defesa. A primeira linha de defesa é responsável por identificar, avaliar, controlar e mitigar os riscos, guiando o desenvolvimento e a implementação de políticas e procedimentos internos destinados a garantir que as atividades sejam realizadas de acordo com as metas e objetivos da organização.
Para atuar na primeira linha de defesa do SCI, Bruno deve coordenar ações para a definição:

✂️ a) dos proprietários de ativos;
✂️ b) da Auditoria Interna (Audin);
✂️ c) residência inclusiva;
✂️ d) tecnologia assistiva;
✂️ e) moradia para a vida independente.

7Q1050143 | Segurança da Informação, Políticas de Segurança de Informação, manhã, MF, FGV, 2024

A norma complementar nº 03/IN01/DSIC/GSIPR recomenda instituir o gestor de segurança da informação e comunicações do órgão ou entidade da administração pública federal com a responsabilidade de

✂️ a) assessorar na implementação das ações de segurança da informação e comunicações.
✂️ b) constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação.
✂️ c) acompanhar as investigações e as avaliações dos danos decorrentes de quebras de segurança.
✂️ d) propor políticas relativas à dados abertos para orientar órgãos ou entidades descobertas pelas legislações vigentes.
✂️ e) promover uma cultura de inovação centrada na adoção de tecnologias gratuitas e de código-fonte aberto.

8Q1050144 | Segurança da Informação, Políticas de Segurança de Informação, manhã, MF, FGV, 2024

Para a institucionalização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, de acordo com a Norma Complementar nº 03/IN01/DSIC/GSIPR, recomenda-se

✂️ a) implementá-la por meio da formalização e da aprovação, por parte de servidores, contratados e prestadores de serviço, de modo a demonstrar comprometimento.
✂️ b) que todos os instrumentos normativos gerados a partir da POSIC sejam revisados sempre que se fizer necessário, não excedendo o período máximo de seis meses.
✂️ c) divulgá-la exclusivamente aos contratados e terceirizados que habitualmente trabalham em órgãos da administração pública federal.
✂️ d) promover a cultura de segurança da informação e comunicações por meio de atividades de sensibilização, conscientização, capacitação e especialização.
✂️ e) manter o caráter orientativo em detrimento do punitivo, sem estabelecer termos de responsabilidade para os casos de violação da POSIC ou de quebra de segurança.

9Q1051176 | Segurança da Informação, Políticas de Segurança de Informação, Gestão de Serviços de TIC, DATAPREV, FGV, 2024

Uma empresa está trabalhando na implementação e gerenciamento de seus ativos de software com base na norma ISO/IEC 19770.
No momento, a empresa estuda a implementação do nível 2 dessa norma. Esse nível corresponde a

✂️ a) atingir o estado estratégico ideal, permitindo que a gestão de ativos de TI apoie os objetivos do negócio.
✂️ b) cobrir o ambiente básico de controle de gestão, incluindo políticas, papéis e responsabilidades.
✂️ c) definir o conceito dos mecanismos que permitirão à empresa permanecer em conformidade contínua.
✂️ d) integrar a gestão de ativos de software nos processos operacionais da empresa.
✂️ e) montar uma base de dados para fornecer a capacidade de demonstrar a conformidade de licenciamento.

10Q1050159 | Segurança da Informação, Políticas de Segurança de Informação, manhã, MF, FGV, 2024

Conforme a norma complementar nº 14/IN01/DSIC/GSIPR, nos órgãos e entidades da administração pública federal é vedado o tratamento em ambiente de computação em nuvem de

✂️ a) dados abertos do poder público sobre recursos, responsabilidade e informações de interesse da sociedade.
✂️ b) informação sem restrição de acesso que fundamentam tomadas de decisão no poder público.
✂️ c) informação pessoal relativa à intimidade, vida privada, honra e imagem.
✂️ d) documentos preparatórios que fundamentam atos administrativos sem originar informação sigilosa.
✂️ e) informação classificada conforme previsto em legislação vigente.

11Q907062 | Segurança da Informação, Políticas de Segurança de Informação, Analista de Tecnologia da Informação, BRB, IADES, 2024

O propósito do gerenciamento da segurança da informação é proteger a informação necessária para que a organização conduza o próprio negócio. Acerca dessa disciplina, assinale a alternativa correta.

✂️ a) A detecção e a correção de incidentes de segurança da informação não fazem parte da cadeia de entrega de valor, mas sim do gerenciamento de serviços.
✂️ b) Processos de segurança da informação extremamente rigorosos sempre devem ser prioridade diante dos objetivos de inovação da organização.
✂️ c) O time de desenvolvimento pode atuar ativamente no processo de identificação e correção de incidentes de segurança, e, portanto, não deve ser percebido como um potencial ponto de vulnerabilidade.
✂️ d) O gerenciamento da segurança da informação não deve se estender aos clientes da organização, que não participam do processo de definição de políticas e podem ser um ponto de vulnerabilidade.
✂️ e) O não repúdio consiste em assegurar a identidade de qualquer agente que executa uma ação dentro da organização.

12Q1059903 | Segurança da Informação, Políticas de Segurança de Informação, Tecnologia da Informação, TCE GO, FGV, 2024

A ABNT NBR ISO/IEC 27001:2022, NBR ISO/IEC 27002:2022, os CIS v8, SIEM, e a Lei nº 13.709(LGPD) são algumas das diversas normas e leis que trabalham conjuntamente para assegurar a integridade, confidencialidade e disponibilidade dos dados no contexto da segurança da informação.
Assinale a opção que descreve corretamente uma contribuição combinada dessas leis e normas.

✂️ a) Apenas a implementação da LGPD é suficiente para garantir a conformidade legal e a segurança da informação, tornando as outras normas e controles redundantes.
✂️ b) O ponto chave dos Sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) oferecer somente práticas de segurança pessoal em tempo real que deve ser combinado as demais normas e leis.
✂️ c) As normas ABNT NBR ISO/IEC estabelecem os requisitos gerais de segurança, a LGPD foca na proteção de dados pessoais, e os SIEM proporcionam a visão e controle operacionais necessários.
✂️ d) A adoção dos CIS Critical Security Controls v8 cobre os requisitos de segurança e as normas ABNT NBR ISO/IEC fornecem o complemento no que se refere a proteção de dados pessoais.
✂️ e) A ABNT NBR ISO/IEC 27001:2022 e a 27002:2022 são as únicas que fornecem uma abordagem baseada em risco que utilizará os outros mecanismos para organizar e controlar os sistemas de segurança.

14Q1000513 | Segurança da Informação, Políticas de Segurança de Informação, Especialidade Segurança da Informação, TRF 5 REGIÃO, IBFC, 2024

De acordo com o CERT.br, assinale a alternativa correta que apresenta qual é a sua missão em relação a ser um grupo de resposta a incidentes de segurança.

✂️ a) Aumentar os níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à Internet no Brasil
✂️ b) Melhorar a comunicação entre redes isoladas e a Internet no Brasil, focando apenas na velocidade de conexão
✂️ c) Aumentar a capacidade de armazenamento e o desempenho de redes desconectadas da Internet no Brasil
✂️ d) Reduzir os níveis de segurança e de capacidade de tratamento de incidentes das redes desconectadas da Internet no Brasil

15Q1060420 | Segurança da Informação, Políticas de Segurança de Informação, Tecnologia da Informação Infraestrutura e Segurança, EPE, FGV, 2024

A Empresa de Pesquisa Energética (EPE) está fortalecendo suas políticas de segurança da informação para proteger dados sensíveis e garantir a integridade e a disponibilidade dos sistemas. Considerando a importância da segurança da informação, a EPE irá revisar e reforçar suas políticas de segurança.
Assim, a EPE, para garantir a proteção abrangente das informações, deve garantir

✂️ a) confidencialidade, que assegura que informações estejam acessíveis a qualquer pessoa interessada.
✂️ b) integridade, que garante que informações possam ser modificadas por qualquer usuário.
✂️ c) disponibilidade, que assegura que as informações estejam acessíveis apenas em horários específicos.
✂️ d) a tríade CID, que inclui confidencialidade, integridade e disponibilidade.
✂️ e) a implementação de senhas fracas para facilitar o acesso dos usuários.

16Q904008 | Segurança da Informação, Políticas de Segurança de Informação, Especialista em Governança de Tecnologia da Informação, TRF 1a, FGV, 2024

A estratégia nacional de segurança da informação e cibernética do Poder Judiciário (ENSEC-PJ) estabelece que cada tribunal, com exceção do STF, deverá estabelecer, em sua política de segurança da informação, ações para:

✂️ a) criar controles para o tratamento de informações sem restrição de acesso;
✂️ b) utilizar os recursos de soluções de anonimização, ampliando o uso de assinatura eletrônica;
✂️ c) comunicar e articular as ações de segurança da informação com a área de tecnologia;
✂️ d) promover treinamento contínuo e certificação internacional dos profissionais formados na área de segurança cibernética;
✂️ e) estabelecer requisitos mínimos de segurança cibernética nas contratações e nos acordos que envolvam a comunicação com outros órgãos.

17Q1050555 | Segurança da Informação, Políticas de Segurança de Informação, Analista de Segurança, TCE PA, FGV, 2024

Em uma empresa hipotética, o departamento de TI está realizando uma força tarefa com o objetivo de instalar um programa de criptografia em todos as pastas de documentos dos computadores de seus colaboradores.
De modo a informar suas atividades, o departamento de TI coloca em todos os setores da empresa um gráfico de tendência relacionando a proporção de máquinas concluídas.
De acordo com a NBR ISO 27004, da ABNT, o descritor da informação empregado pela equipe de TI por meio dos gráficos é

✂️ a) o identificador de medida.
✂️ b) a medida.
✂️ c) a meta.
✂️ d) a parte responsável.
✂️ e) o formato de comunicação.

18Q1037507 | Segurança da Informação, Políticas de Segurança de Informação, Gestão de Serviços de TIC, DATAPREV, FGV, 2024

Uma autarquia federal está iniciando procedimentos para aprovação de contratações de serviços de tecnologia da informação e comunicação – TIC, seguindo as regras da Instrução Normativa SGD nº05/2021 e suas alterações. Na situação apresentada, o serviço a ser contratado por concorrência tem um valor de R$ 14.000.000,00 (quatorze milhões de reais).
Neste caso, a aprovação, com base no parecer emitido pelo Subcomitê Interno de Referencial Técnico, cabe ao comitê ou subcomitê cuja sigla é

✂️ a) C4ME.
✂️ b) CIGO.
✂️ c) SCGE.
✂️ d) SCRSC.
✂️ e) SITIC.

19Q1050570 | Segurança da Informação, Políticas de Segurança de Informação, Analista de Suporte, TCE PA, FGV, 2024

Ao final de três meses da implantação da gestão de riscos em uma empresa, foi realizado um estudo, onde foi mensurado o desempenho da estrutura da gestão de riscos, os indicadores e comportamento esperado.
Ao final do estudo, foi constatado que as ações estão eficazes e a empresa está com plenas condições de alcançar os seus objetivos dentro da gestão de riscos.
De acordo com a NBR ISO 31000, da ABNT, a componente da estrutura da gestão de riscos associada à atividade descrita é

✂️ a) liderança.
✂️ b) integração.
✂️ c) concepção.
✂️ d) avaliação.
✂️ e) implementação.