Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
A ação de se evitar um risco, de modo a eliminar a ocorrência de suas consequências e, naturalmente, a realização da atividade que o ocasionaria, não faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se toma, não ao que se evita.
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.
Define-se a análise de impacto nos negócios — do inglês business impact analysis (BIA) — como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção.
De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.
Define-se evento como a combinação das consequências advindas da ocorrência de uma situação indesejada com a probabilidade de essa situação ocorrer.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos, mas não devem fazer parte do documento da política em si.
De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.
A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.
O tempo objetivado de recuperação (recovery time objective) é o tempo-alvo para a retomada da entrega de produtos, serviços ou atividades após a ocorrência de um incidente.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
A norma em questão recomenda que sejam incluídas, na política de segurança da informação, declarações que esclareçam termos e condições de trabalho de recursos humanos, incluindo até responsabilidades que se estendam para fora das dependências da organização e fora dos horários normais de trabalho.
Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.
De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.
O nível de detalhamento da identificação dos ativos de uma organização pode influenciar na quantidade de informações reunidas durante a avaliação de riscos.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade, integridade e disponibilidade, não havendo, nessa norma, indicação de parâmetros para outros tipos de requisitos a serem considerados.
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.
A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade.
A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.
A melhoria contínua do SGSI, assim como a análise crítica de sua implementação, faz parte da etapa DO (fazer) do PDCA aplicado ao processo.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
A responsabilidade por um ativo de informação na organização deve ser atribuída às equipes de suporte estabelecidas e nomeadas. De acordo com a norma vigente, veda-se, por exemplo, responsabilizar um usuário por um ativo inventariado.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
Em gestão da segurança da informação, só devem ser classificadas as informações que possuam algum valor para a organização, ou seja, aquelas cuja divulgação traga algum malefício financeiro ou de imagem a qualquer indivíduo que nela trabalhe.
A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação.
A grande contribuição da norma citada é o fato de ela destinar-se a todos os tipos de organizações, em qualquer país, que possuam a tecnologia da informação como a sua atividade-fim.
A norma em apreço estabelece diretrizes e princípios para a segurança da informação, no entanto a implementação de seus objetivos de controles e dos controles não garante o atendimento aos requisitos de segurança da informação, pois a implementação é de responsabilidade do SGSI.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
A norma referida recomenda que se realizem treinamento, educação e conscientização de pessoas apenas antes da contratação, para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles.
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.
A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.
Com relação a conteúdo prático, objetivos de controles e diretrizes para implementação recomendados pela norma ABNT NBR ISO/IEC 27002, julgue os itens de 79 a 88.
Recuperação de erros, procedimentos de reinicialização e planos de contingência, apesar de serem bem específicos ao processo de aceitação de sistemas, devem ser considerados para minimizar os riscos de falhas de sistemas, no gerenciamento de operações e comunicações preconizado pela norma 27002.
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.
O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.