A Instrução Normativa GSI Flashcards
Uma política de atualização deve ser criada para descrever os controles de segurança da informação com a orientação do uso adequado de ativos de informação.
O item está de acordo com o gabarito da banca. A Instrução Normativa GSI n.º 1/2020 não estabelece que uma política de atualização deve ser criada para descrever os controles de segurança da informação com a orientação do uso adequado de ativos de informação. Portanto, a afirmação é falsa.
São afirmativas verdadeiras sobre a norma ISO 27001
I. Como regra geral, as organizações que implementam a ISO 27001 devem estar atentas ao texto dessa norma específica em si, e estarem cientes de quaisquer revisões que nela ocorram. O não cumprimento de revisões ou retificações comprometer uma certificação já existente.
II. Usa a palavra ‘deverá’ para indicar um requisito, enquanto os outros padrões no uso familiar ‘deveria’ para indicar boas práticas que não são um requisito.
norma ISO 27001:2022 estabelece os objetivos que uma organização deve cumprir para ser certificada ?
Certo
A norma ISO 27001 corresponde a padrão publicado pela International Organization for Standardization (ISO) em parceria com a International Electrotechnical Commission (IEC). Ela define os requisitos, processos e normas a serem seguidas para garantir uma gestão de segurança da informação eficaz.
Para manutenção e melhoria de qualquer sistema são elementos chave as ações de monitoramento e medição, que envolvem diversas práticas, políticas e procedimentos.
Estas ações de segurança da informação devem observar os seguintes aspectos:
Segurança física da organização; Gestão de incidentes; Análise de aspectos vulneráveis.
Cabe ao gestor de segurança da informação de cada órgão ou entidade elaborar o plano de gestão de riscos de segurança da informação e o relatório de tratamento de riscos.
Errado
Art. 17. Cabe ao agente responsável pela gestão de riscos de segurança da informação elaborar:
I - o plano de gestão de riscos de segurança da informação;
II - o relatório de identificação, análise e avaliação dos riscos de segurança da informação; e
III - o relatório de tratamento de riscos de segurança da informação
Art. 8º Cabe ao gestor de segurança da informação de cada órgão ou entidade coordenar o processo de mapeamento de ativos de informação, bem como designar um agente responsável pela gestão dos ativos de informação, dentre os servidores efetivos do órgão ou da entidade.
Ao comitê de segurança da informação compete supervisionar a aplicação do ato normativo sobre o uso seguro de computação em nuvem.
Errado
A equipe de prevenção, tratamento e resposta a incidentes cibernéticos tem como atribuição assessorar a implementação das ações de segurança da informação e participar da elaboração da política de segurança da informação.
Errado
Com base nas normas ABNT NBR ISO/IEC n.º 27001:2013 e ABNT NBR ISO/IEC n.º 27002:2013, julgue os itens a seguir, a respeito da gestão de segurança da informação.
Para o registro de todos os acessos físicos aos ambientes da organização são convenientes a manutenção e o monitoramento seguros de trilha de auditoria eletrônica ou de livro de registro físico.
Certo
De acordo com a norma ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, é conveniente a manutenção e o monitoramento seguros de trilha de auditoria eletrônica ou de livro de registro físico para o registro de todos os acessos físicos aos ambientes da organização. Isso permite que a organização tenha um registro confiável de quem acessou seus ambientes e quando, o que pode ser útil para investigações de incidentes de segurança.
Sobre a política de segurança da informação de uma organização, é INCORRETO afirmar que:
Documenta uma análise de riscos em segurança da informação, bem como seus critérios de aceitação e tratamento ao risco.
a alternativa incorreta é a B porque a política de segurança da informação não documenta uma análise de riscos em si, mas sim estabelece diretrizes e princípios gerais para a segurança da informação. A análise de riscos é geralmente realizada separadamente e, com base nessa análise, são definidos critérios de aceitação e tratamento de riscos. Portanto, a alternativa B está incorreta.
Segundo a norma ABNT NBR ISO/IEC 27001:2013, quem deve estabelecer a política de segurança da informação, atribuir responsabilidades e autoridade para assegurar que o Sistema de Gestão da Segurança da Informação (SGSI) esteja em conformidade com os requisitos dessa norma e, ainda, relatar sobre o desempenho do sistema de gestão da segurança da informação é
a Alta Direção.
Segundo a norma ABNT NBR ISO/IEC 27001:2013, é responsabilidade da Alta Direção estabelecer a política de segurança da informação, atribuir responsabilidades e autoridade para assegurar que o Sistema de Gestão da Segurança da Informação (SGSI) esteja em conformidade com os requisitos da norma, além de relatar sobre o desempenho do sistema de gestão da segurança da informação.
A Alta Direção tem um papel fundamental na implementação e manutenção do SGSI, pois ela deve garantir que a política de segurança da informação esteja alinhada com os objetivos estratégicos da organização, que os riscos de segurança da informação sejam devidamente avaliados e tratados, e que os recursos necessários para implementar e manter o SGSI estejam disponíveis.
Qual deve ser a primeira etapa quando da implementação da ISO 27001?
Contexto da Organização
De acordo com a Norma ISO/IEC 27.001/2013, a gerência superior deve demonstrar liderança e comprometimento com o gerenciamento da segurança da informação. A esse respeito, assinale a alternativa que apresenta uma demonstração desse tipo de liderança e de comprometimento.
Garantir que a política de segurança da informação e os objetivos de segurança da informação sejam estabelecidos e compatíveis com o direcionamento estratégico da organização.
Quais são os principais benefícios da ISO 27002:
A) Proporciona maior controle de ativos e informações sensíveis: Adoção de controles e salvaguardas para proteger os ativos de informação.
B) Oferece uma abordagem para implantação de políticas de controles: Fornece diretrizes para analisar, avaliar e tratar riscos de segurança, assim como para selecionar e implementar controles.
C) Contribui para uma melhor conscientização sobre segurança da informação: A norma promove treinamento e conscientização sobre segurança da informação para todos na organização.
São consideradas verdadeiras as afirmativas ao Sistema de Segurança da Informação (SGI):
I - É um sistema de gestão corporativo voltado para a Segurança da Informação, que inclui toda abordagem organização usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade e Disponibilidade.
II - O SGSI inclui estratégias, planos, políticas, medidas, controles e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.
III - A norma ISO 27001 é o padrão e a referência internacional para a Gestão da Segurança da Informação.
I - O SGSI é um sistema de gestão que visa proteger os ativos de informação de uma organização, garantindo a confidencialidade, integridade e disponibilidade da informação.
II - O SGSI abrange um conjunto de medidas que garantem a segurança da informação, desde a criação de políticas e procedimentos até a implementação de ferramentas de controle e monitoramento.
III - A ISO 27001 é um conjunto de normas internacionais que define os requisitos para um SGSI. A certificação ISO 27001 demonstra o compromisso da organização com a segurança da informação.
O Sistema de Gestão de Proteção de Dados é composto por 5 fases, sendo as fases 2 e 4 denominadas, respectivamente, de
1°: preparação de privacidade;
2°: organização de proteção e privacidade de dados;
3°: implementação de privacidade;
4°: governança de privacidade e avaliação; e
5°: melhoria de privacidade.
