ISO 27001

Question 1

Qual o objetivo da 27001

Answer 1

Estabelecer requisitos para um SGSI

Question 2

Qual o objetivo da 27002

Answer 2

• Código de práticas para implementar SGSI.
• Objetivos de controles de segurança.
• Controles de segurança

Question 3

Qual o objetivo da 27005

Answer 3

Estabelecer normas de gestão de risco para segurança da informação.

Question 4

Qual norma é usada para fins de certificação?

Answer 4

27001

Question 5

Qual norma tem sua implantação mandatória para implantação de um SGSI.

Answer 5

27001

Question 6

27001, seção 0

Answer 6

0. Introdução

Question 7

27001, seção 1

Answer 7

1. Objetivo
   Estabelece requisitos para EIOMAMM um SGSI

Question 8

O atendimento a TODOS requisitos da 27001, seções 4 a 8, é obrigatório?

Answer 8

SIM

Question 9

A adoção de todos os controles prescritos na 27002 é obrigatória?

Answer 9

NÃO, porém deve ser justificado.

Question 10

27001, seção 2

Answer 10

2. Referência normativa

(A 27002 é indispensável para aplicação da 27001)

Question 11

27001, seção 3

Answer 11

3. Termos e definições

Question 12

27001, seção 4

Answer 12

4. SGSI - Sistema de Gestão de Segurança da Informação

Question 13

27001, seção 5

Answer 13

5. Responsabilidades da direção

Question 14

27001, seção 6

Answer 14

6. Auditorias internas do SGSI

• a auditoria deve ser periódica
• quem faz não pode auditor seus próprios trabalhos
• o auditado deve facilitar a auditoria

Question 15

27001, seção 7

Answer 15

7. Análise crítica do SGSI
   * Feita pela direção

Question 16

27001, seção 8

Answer 16

8. Melhorias do SGSI

Question 17

27001, anexo A

Answer 17

Objetivos de controle e controles

(É um anexo normativo)

Question 18

27001, anexo B

Answer 18

Princípios do OECD - informativo

Question 19

27001, anexo C

Answer 19

Correspondência com a ISO 9001 e ISO 14001

Question 20

27001.0: introdução: ciclo PDCA, defina o P

Answer 20

Plan: ESTABELECER a política de segurança da informação.

Question 21

27001.0: introdução: ciclo PDCA, defina o D

Answer 21

Do: IMPLEMENTAR e OPERAR a política.

Question 22

27001.0: introdução: ciclo PDCA, defina o C

Answer 22

Check: MONITORAR e ANALISAR CRITICAMENTE

Question 23

27001.0: introdução: ciclo PDCA, defina o A

Answer 23

Act: MANTER e MELHORAR por meio de ações corretivas e preventivas

Question 24

O que significa EIOMAMM?

Answer 24

Estabelecer, Implementar, Operar, Monitorar, Analisar criticamente, Manter e Melhorar

Question 25

O que é SGSI?

Answer 25

Sistema de Gestão da Segurança da Informação. Faz parte do sistema de gestão global da organização. Baseado na abordagem de risco do negócio para EIOMAMM a segurança da informação.

Question 26

Qual a diferença entre INCIDENTE e EVENTO de segurança da informação?

Answer 26

EVENTO: qualquer violação da segurança da informação. Tem relevância, mas não é tão crítico.
INCIDENTE: um conjunto de um ou mais eventos. É crítico, requer atuação imediata.

Question 27

O que é declaração de aplicabilidade?

Answer 27

Documento que descreve:

• Os objetivos de controle e os controles aplicáveis
• Os controles não aplicáveis.

Question 28

27001, seção 4.2.1

Answer 28

Estabelecer o SGSI (plan):

1. definir o escopo e limites do SGSI
2. definir política de segurança da informação
3. definir sistemática de analise e avaliação de risco
4. identificar, analisar a avaliar risco
5. identificar opção de tratamento de risco
6. selecionar objetivo de controle e controle
7. obter aprovação
8. fazer declaração de aplicabilidade

Question 29

27001, seção 4.2.2

Answer 29

Implementar e operar o SGSI (do):

1. formular plano de tratamento de risco
2. implementar o plano de tratamento de risco
3. implementar os controles selecionados
4. definir como medir os controles
5. gerenciar as operações e recursos do SGSI
6. obter aprovação da direção acerca dos riscos residuais
7. implementar procedimentos e controles para rápida resposta a incidentes

Question 30

27001, seção 4.2.3

Answer 30

Monitorara e analisar criticamente o SGSI (check):

1. executar procedimentos para analisar e monitorar
2. analisar criticamente regularmente
3. conduzir auditorias internas no SGSI
4. atualizar o plano de segurança da informação
5. registrar as ações e eventos que podem causar algum impacto

Question 31

27001, seção 4.2.4

Answer 31

Manter e melhorar o SGSI (act):

1. implementar as melhorias identificadas
2. executar ações preventivas e corretivas
3. comunicar as ações às partes interessadas
4. assegurar que as melhorias alcancem os objetivos

Question 32

27001, seção 4.3

Answer 32

Requisitos de documentação

1. declaração da política;
2. escopo e objetivos do SGSI;
3. procedimentos e controles;
4. metodologia de risco;
5. relatório de risco;
6. plato de tratamento de risco;
7. registros requeridos pela norma;
8. delaração de aplicabilidade

Question 33

Segundo a 27001, seção 4.3, qual a diferença entre registro e documentação ?

Answer 33

Registro é mais dinâmico.
Documentação é mais estática.

Question 34

27001, seção 5.1

Answer 34

Comprometimento da direção:

• A direção deve estar comprometida com EIOMAMM.

Question 35

27001, seção 5.2

Answer 35

Responsabilidade da direção:

• Gestão dos recursos e
• conscientização das pessoas quanto à importância do SGSI

Question 36

27001, seção 7.2

Answer 36

Entradas para análise crítica do SGSI:

1. Resultados anteriores:
   
   • auditorias e análises críticas;
   • vulnerabilidades/ameaças não contempladas
   • resultados das medições de eficácia;
2. Partes Interessadas: realimentações das
3. Aações Preventivas e Corretivas: situação das;
4. Técnicas/Produtos/Procedimentos de melhoria da eficácia do SGSI;
5. Mudança que poderia afetar o SGSI;
6. Recomendações para melhoria.

Question 37

27001, seção 8.1

Answer 37

Melhoria do SGSI: melhoria contínua

Question 38

27001, seção 8.2

Answer 38

Melhoria do SGSI: Ações Corretivas

Question 39

27001, seção 8.3

Answer 39

Melhoria do SGSI: Ações Preventivas

Question 40

27001, seção 7.3

Answer 40

Saída da análise crítica do SGSI

1. melhoria da eficácia do SGSI;
2. atualização da análise/avaliação de riscos
3. atualiação do plano de tratamento de riscos;
4. modificação de procedimentos e controles que afetem a segurança da informação,
5. necessidade de recursos;
6. melhoria da medição da eficácia dos controles