ISO-27002 - Conceitos Fundamentais

Question 1

A norma 27002 derivou de que norma ?

Answer 1

ISO/17799

Question 2

A 27002 é voltada para certificação ?

Answer 2

Não

Question 3

Qual norma é voltada para certificação e é mais abrangente que a norma 27002, definindo recomendações para a mesma ?

Answer 3

27001

Question 4

Uma empresa pode ser certificada 27001 ?

Answer 4

Sim

Question 5

Quais foram as mudanças que a ISO/27002 teve em relação à ISO/17799 ?

Answer 5

Criação de novas seções, Nova definição de SI(negócio), Ampliação do conceito de ativos(pessoas, imagem org), Atualizações dos controles existentes.

Question 6

Quantos controles foram adicionados na 27002 ?

Answer 6

17

Question 7

Quantas seções tem a norma 27002 ?

Answer 7

11

Question 8

As seções tem prioridades entre elas ?

Answer 8

Não

Question 9

Quantos objetivos de controle tem a norma 27002?

Answer 9

39

Question 10

Quantos controles tem a norma 27002

Answer 10

133

Question 11

Qual a estrutura da norma 27002 ?

Answer 11

Objetivo de Controle > Controles > Diretrizes > Inf. Adicionais

Question 12

Qual a nova definição de SI da 27002?

Answer 12

È a proteção da informação de vários tipos de ameaças para garantir a CONTINUIDADE, minimizar o RISCO, maximinizar o ROI doi NEGÒCIO.

Question 13

Como deve ser feita a proteção da informação ?

Answer 13

Com a implementação de um conjunto de controles adequados incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware.

Question 14

Qual a finalidade desses controles ?

Answer 14

Atender aos requisitos identificados por meio de uma análise/avaliação de riscos.

Question 15

Como obter a segurança ?

Answer 15

Pela implementação de controles que devem ser EIOMAMM.

Question 16

Para atingir os controles é essencial o estabelecimento de requisitos de segurança que são obtidos pelas seguintes FONTES:

Answer 16

Análise/Avaliação de riscos, Legislação, Objetivos do Negócios

Question 17

A seleção de controles de segurança depende:

Answer 17

Das decisões da organização, dos critérios para aceitação das opções disponíveis para tratamento e no enfoque geral da gestão de risco.

Question 18

Documentação da PSI é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 18

PRÀTICA

Question 19

Proteção de dados e PRIVACIDADE de informações é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 19

ESSENCIAL

Question 20

Preteção de REGISTROS organizacionais é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 20

ESSENCIAL

Question 21

Direitos de propriedade INTELECTUAL é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 21

ESSENCIAL

Question 22

Atribuição de RESPONSABILIDADES é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 22

PRÁTICA

Question 23

CONCIENTIZAÇÃO E EDUCAÇÃO é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 23

PRÁTICA

Question 24

Processamento CORRETO nas aplicações é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 24

PRÁTICA

Question 25

Gestão de VULNERABILIDADES técnicas é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 25

PRÁTICA

Question 26

Gestão de CONTINUIDADE é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 26

PRÁTICA

Question 27

Gestão de INCIDENTES é um controle conciderado como PRÀTICA ou é um controle ESSENCIAL ?

Answer 27

PRÁTICA

Question 28

Quais são os fatores críticos para o sucesso da implementação da SI ?

Answer 28

* PSI que reflitam os objetivos do negócio *Cultura Organizacional *Comprometimento Gerencial *Divultação da SI *Recursos Financeiros *Treinamento *Medição

Question 29

definição de ATIVO?

Answer 29

qualquer coisa que tenha VALOR para a organização

Question 30

definição de SI ?

Answer 30

Preservação da CONFIDENCIALIDADE, INTEGRIDADE, DISPONIBILIDADE... e outros...

Question 31

definição de RISCO?

Answer 31

Combinação da PROBABILIDADE de um evento e suas CONSEQUENCIAS.

Question 32

definição de ANÁLISE DE RISCOS ?

Answer 32

Uso sistemático de informações para IDENTIFICAR FONTES e ESTIMAR O RISCO.

Question 33

definição de AVALIAÇÃO DE RISCOS ?

Answer 33

Processo de COMPARAR o risco com CRITÉRIOS de risco para determinar a importância do mesmo.

Question 34

definição de GESTÃO DE RISCO ?

Answer 34

Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.

Question 35

definição de TRATAMENTO DE RISCOS ?

Answer 35

Processo de seleção e implementação de MEDIDAS para MODIFICAR UM RISCO.

Question 36

definição de AMEAÇA ?

Answer 36

causa POTENCIAL de um INCIDENTE indesejado que pode resultar em um DANO. (fora do ativo)

Question 37

definição de VULNERABILIDADE ?

Answer 37

Fragilidade de um ativo que pode ser EXPLADO por uma ameaça. (dentro do ativo)

Question 38

definição de EVENTO ?

Answer 38

Ocorrência idntificada que indica UMA (ÚNICA) possível VIOLAÇÃO que seja relevante.

Question 39

definição de INCIDENTE ?

Answer 39

Um (SIMPLES) ou uma SÉRIE DE EVENTOS de segurança que tenha uma grande probabilidade de comprometer as operações do negócio.

Question 40

definição de POLÍTICA ?

Answer 40

Intenções e diretrizes globais FORMALMENTE expressas pela direção.

Question 41

Da norma 0 a 3 (primeiras seções da norma) indicam:

Answer 41

Introdução, Objetivo, Termos e Estrutura da norma.

Question 42

A seção 4 trata de ?

Answer 42

ANÁLISE/AVALIAÇÃO E TRATAMENTO DE RICOS.

Question 43

A seção 5 trada da?

Answer 43

PSI

Question 44

Qual a finalidade da norma 4?

Answer 44

Dar uma visualização ampla dos controles, primeiro passo a ser dado para seleção de controles.

Question 45

A seção 4 recomenda que a __ inclua um enfoque sistemático de __ e o processo de __ os riscos para determinar a __.

Answer 45

ANÁLISE/AVALIAÇÃO, ESTIMAR A MAGNITUDE DO RISCO, COMPARAR, SIGNIFICÂNCIA do risco.

Question 46

As análises/avaliações de risco devem ser feita apenas uma vez ?

Answer 46

Não, devem ser periódica para contemplar as mudanças de requisitos.

Question 47

Para cada risco identificado, uma decisão sobre TRATAMENTO precisa ser tomada, são opções:

Answer 47

*Aplicar Controles, *Aceitar Riscos, *Evitar Riscos, *Transferir Riscos.

Question 48

Qual o objetivo da PSI ?

Answer 48

Prover uma orientação e apóio da direção para a SI.

Question 49

Quais são os controles do OBJETIVO de controle PSI ?

Answer 49

Documento da PSI e Análise Crítica da PSI.

Question 50

Quais são as características de um documento da PSI.

Answer 50

Deve ser APROVADO, PUBLICADO e COMUNICADO(internamente e externamente quando relevante).

Question 51

Qual a característica da Análise Crítica da PSI ?

Answer 51

A PSI deve ser analizada criticamente em intervalos planejados para assegurar a sua contínua eficâcia.

Question 52

A DOCUMENTAÇÃO DA PSI deve conter dentre outras coisas:

Answer 52

Metas, Escopo, Estrutura, Responsabilidades, Explanação.

Question 53

Se a PSI for violada é convém que:

Answer 53

Exista um processo diciplinar formal.

Question 54

Quais são as entradas do controle Análise Crítica da PSI ?

Answer 54

Informações, Tendências com as Ameaças e Relato de Incidentes.

Question 55

Quais são as saídas do controle Análise Crítica da PSI ?

Answer 55

Decisões relacionadas a melhoria do enfoque da organização, dos controles/objetivos de controles e na alocação de recursos.

Question 56

A breve explanação da PSI deve conter..

Answer 56

Conformidade, Consientização, G.Continuidade, Consequências se for violada.

Question 57

O documento da PSI deve ser aprovado...

Answer 57

Publicado e Comunicado.

Question 58

Porque aspéctos técnicos devem ficar de fora da PSI ?

Answer 58

Porque variam muito ao longo do tempo.

Question 59

Quais os 2 objetivos de controle da PSI ?

Answer 59

Documentação e Análise Crítica da PSI.