A Instrução Normativa GSI Flashcards

1
Q

Uma política de atualização deve ser criada para descrever os controles de segurança da informação com a orientação do uso adequado de ativos de informação.

A

O item está de acordo com o gabarito da banca. A Instrução Normativa GSI n.º 1/2020 não estabelece que uma política de atualização deve ser criada para descrever os controles de segurança da informação com a orientação do uso adequado de ativos de informação. Portanto, a afirmação é falsa.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

São afirmativas verdadeiras sobre a norma ISO 27001

A

I. Como regra geral, as organizações que implementam a ISO 27001 devem estar atentas ao texto dessa norma específica em si, e estarem cientes de quaisquer revisões que nela ocorram. O não cumprimento de revisões ou retificações comprometer uma certificação já existente.

II. Usa a palavra ‘deverá’ para indicar um requisito, enquanto os outros padrões no uso familiar ‘deveria’ para indicar boas práticas que não são um requisito.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

norma ISO 27001:2022 estabelece os objetivos que uma organização deve cumprir para ser certificada ?

A

Certo

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

A norma ISO 27001 corresponde a padrão publicado pela International Organization for Standardization (ISO) em parceria com a International Electrotechnical Commission (IEC). Ela define os requisitos, processos e normas a serem seguidas para garantir uma gestão de segurança da informação eficaz.

Para manutenção e melhoria de qualquer sistema são elementos chave as ações de monitoramento e medição, que envolvem diversas práticas, políticas e procedimentos.

Estas ações de segurança da informação devem observar os seguintes aspectos:

A

Segurança física da organização; Gestão de incidentes; Análise de aspectos vulneráveis.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Cabe ao gestor de segurança da informação de cada órgão ou entidade elaborar o plano de gestão de riscos de segurança da informação e o relatório de tratamento de riscos.
Errado

A

Art. 17. Cabe ao agente responsável pela gestão de riscos de segurança da informação elaborar:
I - o plano de gestão de riscos de segurança da informação;
II - o relatório de identificação, análise e avaliação dos riscos de segurança da informação; e
III - o relatório de tratamento de riscos de segurança da informação

Art. 8º Cabe ao gestor de segurança da informação de cada órgão ou entidade coordenar o processo de mapeamento de ativos de informação, bem como designar um agente responsável pela gestão dos ativos de informação, dentre os servidores efetivos do órgão ou da entidade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Ao comitê de segurança da informação compete supervisionar a aplicação do ato normativo sobre o uso seguro de computação em nuvem.

A

Errado

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

A equipe de prevenção, tratamento e resposta a incidentes cibernéticos tem como atribuição assessorar a implementação das ações de segurança da informação e participar da elaboração da política de segurança da informação.

A

Errado

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Com base nas normas ABNT NBR ISO/IEC n.º 27001:2013 e ABNT NBR ISO/IEC n.º 27002:2013, julgue os itens a seguir, a respeito da gestão de segurança da informação.

Para o registro de todos os acessos físicos aos ambientes da organização são convenientes a manutenção e o monitoramento seguros de trilha de auditoria eletrônica ou de livro de registro físico.

A

Certo
De acordo com a norma ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, é conveniente a manutenção e o monitoramento seguros de trilha de auditoria eletrônica ou de livro de registro físico para o registro de todos os acessos físicos aos ambientes da organização. Isso permite que a organização tenha um registro confiável de quem acessou seus ambientes e quando, o que pode ser útil para investigações de incidentes de segurança.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Sobre a política de segurança da informação de uma organização, é INCORRETO afirmar que:
Documenta uma análise de riscos em segurança da informação, bem como seus critérios de aceitação e tratamento ao risco.

A

a alternativa incorreta é a B porque a política de segurança da informação não documenta uma análise de riscos em si, mas sim estabelece diretrizes e princípios gerais para a segurança da informação. A análise de riscos é geralmente realizada separadamente e, com base nessa análise, são definidos critérios de aceitação e tratamento de riscos. Portanto, a alternativa B está incorreta.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Segundo a norma ABNT NBR ISO/IEC 27001:2013, quem deve estabelecer a política de segurança da informação, atribuir responsabilidades e autoridade para assegurar que o Sistema de Gestão da Segurança da Informação (SGSI) esteja em conformidade com os requisitos dessa norma e, ainda, relatar sobre o desempenho do sistema de gestão da segurança da informação é
a Alta Direção.

A

Segundo a norma ABNT NBR ISO/IEC 27001:2013, é responsabilidade da Alta Direção estabelecer a política de segurança da informação, atribuir responsabilidades e autoridade para assegurar que o Sistema de Gestão da Segurança da Informação (SGSI) esteja em conformidade com os requisitos da norma, além de relatar sobre o desempenho do sistema de gestão da segurança da informação.

A Alta Direção tem um papel fundamental na implementação e manutenção do SGSI, pois ela deve garantir que a política de segurança da informação esteja alinhada com os objetivos estratégicos da organização, que os riscos de segurança da informação sejam devidamente avaliados e tratados, e que os recursos necessários para implementar e manter o SGSI estejam disponíveis.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Qual deve ser a primeira etapa quando da implementação da ISO 27001?

A

Contexto da Organização

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

De acordo com a Norma ISO/IEC 27.001/2013, a gerência superior deve demonstrar liderança e comprometimento com o gerenciamento da segurança da informação. A esse respeito, assinale a alternativa que apresenta uma demonstração desse tipo de liderança e de comprometimento.

A

Garantir que a política de segurança da informação e os objetivos de segurança da informação sejam estabelecidos e compatíveis com o direcionamento estratégico da organização.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Quais são os principais benefícios da ISO 27002:

A

A) Proporciona maior controle de ativos e informações sensíveis: Adoção de controles e salvaguardas para proteger os ativos de informação.

B) Oferece uma abordagem para implantação de políticas de controles: Fornece diretrizes para analisar, avaliar e tratar riscos de segurança, assim como para selecionar e implementar controles.

C) Contribui para uma melhor conscientização sobre segurança da informação: A norma promove treinamento e conscientização sobre segurança da informação para todos na organização.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

São consideradas verdadeiras as afirmativas ao Sistema de Segurança da Informação (SGI):
I - É um sistema de gestão corporativo voltado para a Segurança da Informação, que inclui toda abordagem organização usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade e Disponibilidade.

II - O SGSI inclui estratégias, planos, políticas, medidas, controles e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

III - A norma ISO 27001 é o padrão e a referência internacional para a Gestão da Segurança da Informação.

A

I - O SGSI é um sistema de gestão que visa proteger os ativos de informação de uma organização, garantindo a confidencialidade, integridade e disponibilidade da informação.

II - O SGSI abrange um conjunto de medidas que garantem a segurança da informação, desde a criação de políticas e procedimentos até a implementação de ferramentas de controle e monitoramento.

III - A ISO 27001 é um conjunto de normas internacionais que define os requisitos para um SGSI. A certificação ISO 27001 demonstra o compromisso da organização com a segurança da informação.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

O Sistema de Gestão de Proteção de Dados é composto por 5 fases, sendo as fases 2 e 4 denominadas, respectivamente, de

A

1°: preparação de privacidade;
2°: organização de proteção e privacidade de dados;
3°: implementação de privacidade;
4°: governança de privacidade e avaliação; e
5°: melhoria de privacidade.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

De acordo com a norma ABNT NBR ISO/IEC 27001:2006, NÃO é um de seus termos e definições o(a):

aceitação da falha.

A

A. Aceitação do risco: Este termo se refere à decisão de aceitar um risco. A aceitação do risco é geralmente baseada em uma compreensão do valor do ativo envolvido, da exposição ao risco e do impacto potencial de um evento adverso.

B. Ativo: Na norma ISO/IEC 27001:2006, um ativo é qualquer coisa que tenha valor para a organização. Isso pode incluir coisas tangíveis como hardware ou software, bem como coisas intangíveis como informações.

C. Integridade: Este é um princípio fundamental da segurança da informação que se refere à precisão e consistência dos dados. A integridade dos dados é mantida quando as informações são protegidas contra modificação ou destruição não autorizada.

D. Aceitação da falha: Este termo não é definido na norma ABNT NBR ISO/IEC 27001:2006.

E. Declaração de aplicabilidade: Este é um documento crucial exigido pela ISO/IEC 27001:2006 que descreve quais controles são aplicáveis e justifica a inclusão ou exclusão desses controles. Ele fornece uma visão clara de quais controles de segurança da informação a organização decidiu implementar para tratar seus riscos.

16
Q

Qual norma técnica acerca da segurança da informação tem como objeto principal a especificação dos requisitos e diretrizes para a implantação e melhoria contínua, dentre outros, de um Sistema de Gestão de Privacidade da Informação?

A

ISO 27701
é a norma que especifica os requisitos e fornece diretrizes para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Privacidade da Informação (PIMS) no contexto da organização.

17
Q

Qual é o objetivo principal do Plano de Continuidade de Negócios?

A

Garantir que os serviços de informação sejam continuamente disponíveis.
o objetivo principal do Plano de Continuidade de Negócios (BCP - Business Continuity Plan) é garantir que os serviços e operações essenciais de uma organização sejam continuamente disponíveis, mesmo diante de situações de interrupção ou desastres.

18
Q

Quais são os princípios de dados da ISO 27001?

A

Confidencialidade * Integridade * Disponibilidade