gestão de segurança da informação para concursos-questões cespe 04
DESCRIPTION
Material das aulas de amostra. Vídeo disponível em : http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.htmlTRANSCRIPT
![Page 1: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/1.jpg)
Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005
Também: ISO 27003 e 27004
Módulo 01 : Exercícios CESPE (questões 01 a 50)Aula 04
Professor Fernando PalmaITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000
Contato: [email protected], [email protected] www.portalgsti.com.br
Exercícios comentados
![Page 2: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/2.jpg)
Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 04
Curso disponível em: http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html
![Page 3: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/3.jpg)
Questão 14
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários.
Certo Errado
![Page 4: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/4.jpg)
Questão 14 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários.
Certo Errado
![Page 5: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/5.jpg)
Norma ISO 27002
6.Organizando a segurança da informação
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
![Page 6: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/6.jpg)
13. Gestão de Incidentes de Segurança da informação
13.1. Notificação de fragilidades e eventos de segurança da informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
![Page 7: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/7.jpg)
Questão 14 - comentários
“Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. “– Errado
14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
14.1.5. Testes, manutenção e reavaliação dos planos deControle - Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.Diretrizes - Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado.
![Page 8: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/8.jpg)
Questão 15
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
![Page 9: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/9.jpg)
Questão 15 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
![Page 10: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/10.jpg)
Norma ISO 270010. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A Objetivos de controle e controlesAnexo B
Anexo CFernando Palma
![Page 11: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/11.jpg)
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
![Page 12: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/12.jpg)
Questão 15 - comentários
“No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. “– Certo
4.2.1 Estabelecer o SGSI “A organização deve:a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sualocalização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo .(...)e) Analisar e avaliar os riscos.(...)j) Preparar uma Declaração de Aplicabilidade.”
![Page 13: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/13.jpg)
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática
O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.
Certo Errado
Questão 16
![Page 14: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/14.jpg)
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática
O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entrà melhoria contínua e à análise crítica do desempenho e da ee outros objetivos, ficácia do sistema de gestão de segurança da informação.
Certo Errado
Questão 16 - gabarito
![Page 15: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/15.jpg)
Norma ISO 270010. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A Objetivos de controle e controlesAnexo B
Anexo CFernando Palma
![Page 16: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/16.jpg)
0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
Norma ISO 27001
![Page 17: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/17.jpg)
Questão 16 - comentários
“O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.” Errado. 0.2 Abordagem de processo “(...) A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: (...) c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas.(...) Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todosos processos do SGSI. (...)”
Norma ISO 27001
![Page 18: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/18.jpg)
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio.
Certo Errado
Questão 17
![Page 19: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/19.jpg)
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio.
Certo Errado
Questão 17 - gabarito
![Page 20: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/20.jpg)
Norma ISO 27002
6.Organizando a segurança da informação
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
![Page 21: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/21.jpg)
13. Gestão de Incidentes de Segurança da informação
13.1. Notificação de fragilidades e eventos de segurança da informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
![Page 22: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/22.jpg)
Questão 17 - comentários
“Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ” Errado.
14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos negócios“Diretrizes – (...) Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos; e) legislação: f) prestadores de serviços. fornecedores e clientes-chave; g) processos (inclusões e exclusões); h) risco (operacional e financeiro). (...) "
![Page 23: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/23.jpg)
Prova: CESPE - 2013 - TCE-RO - Analista de InformáticaCom relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado
Questão 18
![Page 24: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/24.jpg)
Prova: CESPE - 2013 - TCE-RO - Analista de InformáticaCom relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado
Questão 18 – gabarito
![Page 25: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/25.jpg)
Norma ISO 27002
6.Organizando a segurança da informação
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
![Page 26: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/26.jpg)
Questão 18 - comentários
“A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. ” Certo.
5.1.2. Análise crítica da política de Segurança da Informação “Controle – “Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.”Diretrizes – “Convém que as entradas para análise crítica pela direção incluam informações sobre:a) realimentação das partes interessadas;b) resultados de análises críticas independentes (...)g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
![Page 27: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/27.jpg)
Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas
A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.
Certo Errado
Questão 19
![Page 28: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/28.jpg)
Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas
A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.
Certo Errado
Questão 19 - gabarito
![Page 29: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/29.jpg)
![Page 30: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/30.jpg)
Questão 19 - comentários
“A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.” - Certo.
2. Controle de acesso lógico 2.3 Que recursos devem ser protegidos?“A proteção aos recursos computacionaisinclui desde aplicativos e arquivos de dados atéutilitários e o próprio sistema operacional. Abaixoserão apresentados os motivos pelos quais essesrecursos devem ser protegidos.”
Boas Práticas em Segurança da Informação 4ª edição - TCU
![Page 31: Gestão de segurança da informação para concursos-questões CESPE 04](https://reader035.vdocuments.pub/reader035/viewer/2022081414/54b59e824a79590f568b4589/html5/thumbnails/31.jpg)
Exercícios comentados
Fim da aula 04
Professor Fernando PalmaITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: [email protected], [email protected] www.portalgsti.com.br
Módulo 01 : Exercícios CESPE (questões 01 a 50)