Questões de Concursos: Norma ISO 17799 e 27001

Os controles para o gerenciamento da continuidade dos negócios têm a finalidade de neutralizar a possibilidade de interrupções nas atividades do negócio e proteger os processos de negócio críticos contra falhas diversas, não mantendo nenhuma relação com os controles de compliance, uma vez que, para a ISO, a informação é classificada quanto a seu valor e impacto para a organização, mas não quanto a requisitos legais.

Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios.

Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.

Disponibilidade é a garantia de que a informação é acessível ou revelada somente a pessoas, entidades ou processos autorizados a acessá-la.

Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação

O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação.

Para que receba um nível de proteção adequada, a informação deve ser classificada quanto a seu valor, requisitos legais, sensibilidade e criticidade.

Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização.

A política de segurança da informação dispõe de regras relativas ao estabelecimento do fórum multifuncional para coordenação da segurança da informação.