ISO 27002

Question 1

Qual o propósito da 27002?

Answer 1

Guia de boas práticas de controles de segurança da informação.

Question 2

A 27002 provê certificação?

Answer 2

Não, só a 27001.

Question 3

Quais os meio utilizados para implantar os controles da 27002?

Answer 3

Políticas, Processos, Procedimentos, Estruturas organizacionais e Funções de hardware e software.

Question 4

Como está estruturada a norma 27002 a partir da seção 5?

Answer 4

Controles - Objetivos de controles - Diretrizes - Informações adicionais

Question 5

Defina: Segurança da Informação (visão do negócio)

Answer 5

Proteção da informação de vários tipos de
ameaças para garantir a continuidade do negócio, minimizar os riscos do
negócio, maximizar o ROI e as oportunidades do negócio através da
implementação de controles que devem ser EIOMAMM em conjunto com
outros processo de gestão de negócio.

Question 6

Quais são as fontes de requisitos de segurança da informação?

Answer 6

Análise e avaliação de risco,

legislação e requisitos de negócio.

Question 7

Quais são os critérios para seleção dos controles?

Answer 7

Critérios de aceitação do risco, opções
para tratamento de risco, enfoque da organização no tratamento de risco,
legislação e regulamentação.

Question 8

Quais são os Controles Essenciais?

Answer 8

1)Proteção de dados e privacidade de informações pessoais; 2) Proteção de registros organizacionais; 3)Direitos de propriedade intelectual.

Question 9

Quais são os controles considerados práticas para segurança da informação?

Answer 9

1) documento da política de segurança da informação [5.1.1; 2) atribuição de responsabilidades para a segurança da informação [6.1.3]; 3) conscientização, educação e treinamento em segurança da informação [8.2.2]; 4) processamento correto nas aplicações [12.2]; 5) gestão de vulnerabilidades técnicas [12.6]; 6) gestão da continuidade do negócio [14]; 7) gestão de incidentes de segurança da informação e melhorias [13.2].

Question 10

Quais são os fatores críticos de sucesso?

Answer 10

1) política de segurança da informação; 2)uma abordagem e uma estrutura consistente com a cultura organizacional; 3) comprometimento e apoio visível de todos os níveis gerenciais; 4)um bom entendimento dos requisitos de segurança, da análise/avaliação e gestão de riscos; 5)divulgação eficiente da segurança da informação para todos envolvidos para conscientização; 6) distribuição de diretrizes e normas sobre a política de segurança; 7) provisão de recursos financeiros; 8)provisão de conscientização e treinamento; 9) estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; 10) implementação de um sistema de medição para avaliar o desempenho da gestão da segurança da informação.

Question 11

Defina: segurança da informação (visão da TI)

Answer 11

preservação da confidencialidade, da
integridade e da disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, não repúdio e
confiabilidade, podem também estar envolvidas.

Question 12

Quais são os ativos, segundo a 27002?

Answer 12

1) Informação; 2) Software; 3) Pessoas; 4) Serviços; 5) Ativos físicos; 6) Imagem e reputação.

Question 13

Defina: Risco

Answer 13

Combinação da probabilidade de um evento e de suas conseqüências.

Question 14

Defina: Análise de riscos

Answer 14

Uso sistemático de informações para identificar fontes e

estimar o risco.

Question 15

Defina: Avaliação de riscos

Answer 15

Processo de comparar o risco estimado com critérios

de risco pré-definidos para determinar a importância do risco

Question 16

Defina: Gestão de riscos

Answer 16

Atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos. NOTA: A gestão de riscos geralmente
inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos
e a comunicação de riscos.

Question 17

Defina: tratamento do risco

Answer 17

Processo de seleção e implementação de medidas

para modificar um risco.

Question 18

Defina: Ameaça

Answer 18

Causa potencial de um incidente indesejado, que pode resultar em
dano para um sistema ou organização (está fora do ativo).

Question 19

Defina: Vulnerabilidade

Answer 19

Fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ou mais ameaças (está dentro/inerente ao ativo).

Question 20

Defina: Evento de segurança da informação

Answer 20

Ocorrência identificada de um
sistema, serviço ou rede, que indica uma possível violação da política de
segurança da informação ou falha de controles, ou uma situação previamente
desconhecida, que possa ser relevante para a segurança da informação

Question 21

Defina: Incidente de segurança da informação

Answer 21

Um incidente de segurança da
informação é indicado por um simples ou por uma série de eventos de
segurança da informação indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operações do negócio e ameaçar a
segurança da informação

Question 22

Defina: Política

Answer 22

Intenções e diretrizes globais formalmente expressas pela direção.

Question 23

Quantos? seções de controle / categorias principais de segurança / objetivos de controles / controles

Answer 23

11 seções de controles / 39 categorias principais de segurança / 39 objetivos de controles / 133 controles

Question 24

Qual a periodicidade para fazer análise e avaliação de risco ?

Answer 24

A norma 27002 não determina periodicidade. Só diz que deve ser periódico para contemplar as mudanças nos requisitos de segurança.

Question 25

A organização deve definir critérios de aceitação de risco?

Answer 25

SIM

Question 26

A norma 27002 determina o tipo de análise de risco (qualitativa ou quantitativa)?

Answer 26

NÃO

Question 27

Quais são as opções para tratamento de risco?

Answer 27

Reduzir (aplicar os controles); Aceitar (conhecer e aceitar o risco); Evitar (evitar ações que causam o evento de risco); Transferir (transferir o risco)