gestão de segurança da informação (iso 27001) em questões
TRANSCRIPT
![Page 1: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/1.jpg)
Gestão de Segurança da Informação(ISO 27001) em Questões
Prof. Walter Cunha
![Page 2: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/2.jpg)
Professor
• Natural: Fortaleza-CE
• Cargo: AFFC-CGU TI (2009)
• Graduação: Engenharia Eletrônica ITA 2000
• Pós: Ger. Projetos FGV 2007
• Emerging Leaders: Harvard Kennedy School Nov/2018
![Page 3: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/3.jpg)
Cursos Gravados• Gestão de Riscos de Segurança da Informação (27.005) (CÓDIGO: 78195)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5465
• Gestão de Segurança da Informação (27.002) (CÓDIGO: 78662)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5466
• Gestão de Riscos Corporativos (ISO 31.000) para Concursos – Professor (CÓDIGO: 78192)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5470
![Page 4: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/4.jpg)
Cursos Gravados• Tecnologias de Datacenter para Concursos (CÓDIGO: 78661)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5467
• Auditoria de TI para Concursos (CÓDIGO: 78194)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5468
• Gestão Organizacional para Concursos (TI) (CÓDIGO: 78193)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5469
![Page 5: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/5.jpg)
Cursos A GRAVAR• Gestão da Continuidade de Negócios (15999/22313) ok
• Governança Corporativa de TI (38500) ok
• Sistemas de gestão da segurança da informação (27001)
• Legislação Aplicadas à Gestão de Segurança da Informação
![Page 6: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/6.jpg)
REFERÊNCIAS• ABTN NBR 27001
![Page 7: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/7.jpg)
Questão 1 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
![Page 8: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/8.jpg)
Questão 1 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
ERRADA
![Page 9: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/9.jpg)
Questão 2 – (FCC/TRT-4 2015)Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:
A Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público.
B Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco.
C Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado.
D Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles.
E Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI.
![Page 10: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/10.jpg)
Questão 2 – (FCC/TRT-4 2015)Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:
A Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público.
B Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco.
C Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado.
D Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles.
E Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI.
![Page 11: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/11.jpg)
Questão 3 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001, as informações publicamente disponíveis no sítio do MEC requerem mecanismos de proteção para sua visualização e modificação.
![Page 12: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/12.jpg)
Questão 3 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001, as informações publicamente disponíveis no sítio do MEC requerem mecanismos de proteção para sua visualização e modificação.
ERRADA
![Page 13: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/13.jpg)
Questão 4 – (CESPE/TCE-RN 2015)De acordo com a norma ISO 27001:2006, as opções para tratamento de risco devem incluir: aplicação de controles apropriados; aceitação dos riscos consciente e objetivamente, desde que satisfaçam claramente as políticas da organização e os critérios de aceitação dos riscos; e transferência dos riscos associados ao negócio a outras partes, por exemplo, a seguradoras e fornecedores.
![Page 14: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/14.jpg)
Questão 4 – (CESPE/TCE-RN 2015)De acordo com a norma ISO 27001:2006, as opções para tratamento de risco devem incluir: aplicação de controles apropriados; aceitação dos riscos consciente e objetivamente, desde que satisfaçam claramente as políticas da organização e os critérios de aceitação dos riscos; e transferência dos riscos associados ao negócio a outras partes, por exemplo, a seguradoras e fornecedores.
CERTA
![Page 15: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/15.jpg)
Questão 5 – (FCC/TRT-23 2015)Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser
A independentes da política de segurança da informação.
B mantidos em segredo pela alta direção da organização.
C fixos e imutáveis para possibilitar a avaliação de desempenho.
D distintos ao plano de negócio da organização.
E elaborados considerando os tratamentos de riscos.
![Page 16: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/16.jpg)
Questão 5 – (FCC/TRT-23 2015)Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser
A independentes da política de segurança da informação.
B mantidos em segredo pela alta direção da organização.
C fixos e imutáveis para possibilitar a avaliação de desempenho.
D distintos ao plano de negócio da organização.
E elaborados considerando os tratamentos de riscos.
![Page 17: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/17.jpg)
Questão 6 – (CESPE/TJDF-23 2015)Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades de controle.
![Page 18: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/18.jpg)
Questão 6 – (CESPE/TJDF-23 2015)Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades de controle.
ERRADA
![Page 19: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/19.jpg)
Questão 7 – (CESPE/PCPE 2016)No que se refere à elaboração de sistemas de gerenciamento de segurança da informação, assinale a opção que apresenta um novo controle constante na norma ISO/IEC 27001:2013 em comparação com a norma ISO/IEC 27001:2005.
A estratégia para controle de processos
B ambiente de nuvem segura
C estratégia de entrega de serviço com cadeia de relacionamento no nível de rede
D ambiente de desenvolvimento seguro
E estrutura de governança de TI
![Page 20: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/20.jpg)
Questão 7 – (CESPE/PCPE 2016)No que se refere à elaboração de sistemas de gerenciamento de segurança da informação, assinale a opção que apresenta um novo controle constante na norma ISO/IEC 27001:2013 em comparação com a norma ISO/IEC 27001:2005.
A estratégia para controle de processos
B ambiente de nuvem segura
C estratégia de entrega de serviço com cadeia de relacionamento no nível de rede
D ambiente de desenvolvimento seguro
E estrutura de governança de TI
![Page 21: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/21.jpg)
Questão 8 – (CESPE/TCE-SC 2016)À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação.
Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização
![Page 22: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/22.jpg)
Questão 8 – (CESPE/TCE-SC 2016)À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação.
Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização
![Page 23: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/23.jpg)
Questão 9 – (CESPE/TCE-PA 2016)No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013.
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
![Page 24: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/24.jpg)
Questão 9 – (CESPE/TCE-PA 2016)No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013.
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
![Page 25: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/25.jpg)
Questão 10 – (TJPR/TJPR 2009)De forma geral do que se trata a norma ISO 27001?
A Padrões de banco de dados e da linguagem SQL
B Gestão de segurança da informação
C Protocolos de Rede
D Padrões para a infraestrutura física de redes
![Page 26: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/26.jpg)
Questão 10 – (TJPR/TJPR 2009)De forma geral do que se trata a norma ISO 27001?
A Padrões de banco de dados e da linguagem SQL
B Gestão de segurança da informação
C Protocolos de Rede
D Padrões para a infraestrutura física de redes
![Page 27: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/27.jpg)
Questão 11 – (FGV/SEPOG-RO 2017)A norma NBR ISO/IEC nº 27001:2006 foi preparada para prover um modelo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora um Sistema de Gestão de Segurança da Informação (SGSI). Esta norma adota o modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI. A terceira etapa desse modelo, quando aplicável, deve
A determinar a política e os objetivos do SGSI que são relevantes para a melhoria da segurança da informação.
B estabelecer os processos e procedimentos do SGSI que são relevantes para a gestão de riscos.
C implementar e operar a política e os controles do SGSI.
D medir o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI.
E executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI.
![Page 28: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/28.jpg)
Questão 11 – (FGV/SEPOG-RO 2017)A norma NBR ISO/IEC nº 27001:2006 foi preparada para prover um modelo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora um Sistema de Gestão de Segurança da Informação (SGSI). Esta norma adota o modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI. A terceira etapa desse modelo, quando aplicável, deve
A determinar a política e os objetivos do SGSI que são relevantes para a melhoria da segurança da informação.
B estabelecer os processos e procedimentos do SGSI que são relevantes para a gestão de riscos.
C implementar e operar a política e os controles do SGSI.
D medir o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI.
E executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI.
![Page 29: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/29.jpg)
Questão 12 – (UPENET/UPE 2017)Consiste em uma das atividades previstas na fase de identificação de riscos, relativas à implantação de um sistema de gerenciamento e gestão da segurança da informação, definidas na norma NBR ISO/IEC 27001:2013:A Identificar ações de segurança de acesso dos usuários ao sistema, tais como biometria e política de senhas.B Identificar quais os riscos potenciais para o sistema e quais os responsáveis por tais riscos.C Solicitar dos usuários do sistema um histórico (log) de falhas relativas a suas interações anteriores com sistemas similares.D Bloquear os usuários que exibam histórico de riscos prováveis ao sistema.E Bloquear operações do sistema que exibam histórico de riscos prováveis ao sistema.
![Page 30: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/30.jpg)
Questão 12 – (UPENET/UPE 2017)Consiste em uma das atividades previstas na fase de identificação de riscos, relativas à implantação de um sistema de gerenciamento e gestão da segurança da informação, definidas na norma NBR ISO/IEC 27001:2013:A Identificar ações de segurança de acesso dos usuários ao sistema, tais como biometria e política de senhas.B Identificar quais os riscos potenciais para o sistema e quais os responsáveis por tais riscos.C Solicitar dos usuários do sistema um histórico (log) de falhas relativas a suas interações anteriores com sistemas similares.D Bloquear os usuários que exibam histórico de riscos prováveis ao sistema.E Bloquear operações do sistema que exibam histórico de riscos prováveis ao sistema.
![Page 31: Gestão de Segurança da Informação (ISO 27001) em Questões](https://reader030.vdocuments.pub/reader030/viewer/2022012415/616fd25eab51f12d130ec4a9/html5/thumbnails/31.jpg)
Dúvidas?