Segurança da Informação Flashcards
Qual é o objetivo principal da norma ISO/IEC 27001?
Estabelecer requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), garantindo a proteção da confidencialidade, integridade e disponibilidade da informação.
A ISO/IEC 27001 é certificável?
✅ Sim! É uma norma certificável. Empresas podem obter certificação para demonstrar conformidade com boas práticas de segurança da informação.
Para que serve a ISO/IEC 27002?
É um guia de boas práticas que detalha controles de segurança sugeridos pela ISO 27001. Não é certificável, mas essencial para implementação dos controles.
Quais são os 4 temas da ISO/IEC 27002:2022?
Verso:
Organizacional
Pessoas
Físico
Tecnológico
Qual o foco da ISO/IEC 27005?
Fornecer orientações para gestão de riscos de segurança da informação. Ajuda a identificar, analisar, avaliar e tratar riscos
Cite 3 etapas do processo de gestão de riscos da ISO/IEC 27005.
Identificação de riscos
Análise e avaliação de riscos
Tratamento dos riscos
Quais são os 3 pilares da segurança da informação?
Confidencialidade
Integridade
Disponibilidade
(Conhecidos como “CID”)
Quais são as opções de tratamento de riscos segundo a ISO 27005?
Evitar o risco
Reduzir o risco
Transferir o risco
Aceitar o risco
📚 CARD 9 – Diferença entre 27001 e 27002
Qual a principal diferença entre a ISO/IEC 27001 e a 27002?
27001: Define o “o que” fazer (requisitos).
27002: Explica “como” fazer (detalhamento técnico dos controles).
📚 CARD 10 – Exemplos de controles ISO 27002
Cite 3 controles técnicos da ISO/IEC 27002.
Controle de acesso lógico
Criptografia de dados
Proteção contra malware
- A norma NBR ISO/IEC 27001 é certificável e define requisitos para estabelecer, implementar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
✅ Gabarito: Certo
📌 Justificativa: A ISO/IEC 27001 é a única da família 27000 certificável e trata do SGSI com base no ciclo PDCA.
- A ISO/IEC 27002 define controles obrigatórios que devem ser implementados por qualquer organização que deseje obter a certificação ISO/IEC 27001.
✅ Gabarito: Errado
📌 Justificativa: A 27002 fornece diretrizes e boas práticas, mas os controles não são obrigatórios — a adoção depende da análise de risco e contexto da organização.
- A ISO/IEC 27005 é utilizada para a realização de auditorias externas de conformidade do SGSI.
✅ Gabarito: Errado
📌 Justificativa: A 27005 não é usada para auditorias, mas sim para gestão de riscos relacionados à segurança da informação.
- A ISO/IEC 27002:2022 organiza seus controles em quatro temas: organizacional, pessoas, físico e tecnológico.
✅ Gabarito: Certo
📌 Justificativa: Essa nova estrutura substitui os antigos 14 domínios da versão anterior, facilitando a classificação e a compreensão.
- A aceitação do risco, conforme a ISO/IEC 27005, ocorre quando os controles implementados eliminam completamente a ameaça identificada.
✅ Gabarito: Errado
📌 Justificativa: A aceitação do risco ocorre quando o risco residual é considerado aceitável, não necessariamente eliminado.
- A confidencialidade, a integridade e a disponibilidade são os princípios fundamentais da segurança da informação, conforme definido pela ISO/IEC 27001.
✅ Gabarito: Certo
📌 Justificativa: Esses são os três pilares clássicos da segurança da informação (conhecidos como CID).
- A ISO/IEC 27005 permite que a organização escolha entre métodos qualitativos ou quantitativos para a análise de riscos.
✅ Gabarito: Certo
📌 Justificativa: A norma é flexível e permite o uso de diferentes métodos de análise, conforme o contexto e maturidade da organização.
- A ISO/IEC 27002 fornece orientações detalhadas sobre como implementar controles definidos na ISO/IEC 27001.
✅ Gabarito: Certo
📌 Justificativa: A ISO/IEC 27002 complementa a 27001, oferecendo detalhes práticos de implementação de cada controle.
- A ISO/IEC 27001 determina que a avaliação de riscos deve ser realizada apenas no momento da certificação.
✅ Gabarito: Errado
📌 Justificativa: A gestão de riscos deve ser contínua. A ISO/IEC 27001 exige monitoramento e revisão periódica dos riscos.
