Questões de Concurso: Normas ISO

Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

São exemplos de conteúdos que constam no documento de política da informação: conformidade com a legislação e cláusulas contratuais, requisitos na educação de segurança, gestão da continuidade do negócio e regras para controle de acesso.

A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.

Analise as seguintes afrmativas sobre as normas da família ISO 27000.

I. ISO 27001 é uma especifcação para implementação de um sistema de gestão de segurança da informação.

II. ISO 27002 apresenta boas práticas para gestão da segurança da informação.

III. ISO 27003 é um guia para implementação de sistemas de gestão de segurança da informação.

Assinale a alternativa CORRETA:

Quando o processo envolver a lei, civil ou criminal, as evidências apresentadas devem se conformar às regras para evidências estabelecidas pela lei, independemente do tribunal de justiça específico onde o caso será julgado. Para obter admissibilidade da evidência, recomenda-se que as organizações garantam que seus procedimentos operacionais estejam em conformidade com qualquer norma ou código de conduta publicado para produção de evidência admissível.

O documento da política de segurança da informação estabelece as suas linhas mestras, expressa as preocupações da administração e é por ela aprovado e comunicado a todos os funcionários.

Os controles baseiam-se nos requisitos de segurança selecionados considerando-se as restrições de implementação, sua eficácia em relação aos riscos que serão reduzidos e às perdas potenciais, caso as falhas na segurança ocorram. Pode-se, ainda, considerar fatores financeiros, como prejuízos à reputação da organização.

O desenvolvimento e a manutenção da continuidade do negócio deve ser sustentado por um processo de gestão que permeie toda a organização. A gestão da continuidade do negócio deve estar incorporada aos processos e à estrutura da organização.

Na revisão periódica da conformidade dos sistemas com as políticas e normas organizacionais de segurança, devem-se incluir sistemas de informação, provedores de sistemas, proprietários da informação, ativos de informação, usuários e administração.