O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.

Apenas o conjunto II permite o tráfego ICMP.

O estabelecimento de um perímetro da rede visa à separação entre a rede externa e a rede interna que se deseja proteger.

Um proxy, ao agir no lugar do cliente ou do usuário para prover acesso a um serviço de rede, protege tanto o cliente quanto o servidor de uma conexão direta.

A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.

Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.


Cabe exclusivamente aos gestores e administradores a coordenação da segurança da informação dentro de uma organização

Com o uso de sistemas de chave pública, juntamente com assinatura e certificação digital, consegue-se obter confidencialidade, integridade, autenticidade, não repúdio e disponibilidade.

O tempo objetivado de recuperação (recovery time objective) é o tempo-alvo para a retomada da entrega de produtos, serviços ou atividades após a ocorrência de um incidente

As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos, mas não devem fazer parte do documento da política em si.

É recomendável que a política de segurança determine medidas específicas a serem implementadas e a forma de implementá-las.

A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança, visto que são, por natureza, informações não confidenciais, ou seja, públicas.

Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.


As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização.

Recuperação de erros, procedimentos de reinicialização e planos de contingência, apesar de serem bem específicos ao processo de aceitação de sistemas, devem ser considerados para minimizar os riscos de falhas de sistemas, no gerenciamento de operações e comunicações preconizado pela norma 27002.

A melhoria contínua do SGSI, assim como a análise crítica de sua implementação, faz parte da etapa DO (fazer) do PDCA aplicado ao processo.

A responsabilidade pela implantação do SGSI cabe exclusivamente aos profissionais da área de TI; a direção da organização apenas acompanha o processo.

A defesa em profundidade é uma arquitetura de defesa que estratifica as medidas de proteção, obtendo níveis de contenção entre a rede externa e a rede interna que se deseja proteger.

A proteção de dados e privacidade de informações pessoais, de registros organizacionais e os direitos de propriedade intelectual muitas vezes são vistos erroneamente como controles essenciais para uma organização.

O processo de melhoria do SGSI, previsto pela norma em apreço, consiste em identificar não conformidades potenciais e suas causas; avaliar a necessidade de ações para evitar a ocorrência de não conformidades; determinar e implementar ações preventivas necessárias.

Os requisitos propostos pela referida norma são especificados apenas para planejar e desenhar um SGSI em forma de projeto, pois sua implementação fica a cargo de outras normas mais específicas da série 27000.