Compartilhando | Teste 1: NBR ISO/IEC 27001: 2006

#1. (FCC – TJ-AP/2014) Segundo a Norma ABNT NBR ISO/IEC 27001:2006, para prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, podem ser aplicados diversos controles. O controle que NÃO está de acordo com o que descreve a Norma é

Pontos de acesso em que pessoas não autorizadas possam entrar nas instalações devem sempre ser isolados dos recursos de processamento da informação.

Deve ser projetada e aplicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.

Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de pro- cessamento da informação.

Deve ser projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras.

As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autori- zadas tenham acesso.

#2. (FCC – TRT – 4ª REGIÃO (RS)/2015) Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:

Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público.

Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado.

Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI.

Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles.

Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco.

#3. (FCC – SEFAZ/SP/2013) A NBR ISO 27001 foi elaborada com objetivo de prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A estratégia de processo, ou seja, o ciclo de atividades, para a gestão da segurança adotada na norma, é conhecida como ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

DOTC.

OECD.

PDCA.

SGCD.

CGSI.

#4. (CESPE – MPOG/2015) A ISO 27001 agrega controles tanto em relação à auditoria quanto à conformidade técnica. A primeira trata dos sistemas de informação a serem auditados, devendo as informações obtidas na auditoria e usadas para análise ser classificadas primeiramente com nível de confidencialidade. A segunda trata dos sistemas a serem periodicamente verificados quanto à sua conformidade com as normas de segurança da informação implementadas.

Verdadeiro

Falso

#5. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente.
Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria, a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades nos sistemas antes que elas sejam exploradas.

Falso

Verdadeiro

#6. (CESPE – SERPRO/2013) Para assegurar que o SGSI continua conveniente com a realidade da organização, a direção deve analisá-lo em intervalos planejados. ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ... "

Falso

Verdadeiro

#7. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Os fatores críticos para a implementação bem-sucedida da segurança da informação incluem a compreensão dos requisitos de segurança da informação, a análise e a gestão de riscos.

Verdadeiro

Falso

#8. (MSGás – MSGás/2015) A norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização é a:

ABNT NBR ISO/IEC 27003:2011.

ABNT NBR ISO/IEC 27001:2013.

ABNT NBR ISO/IEC 27002:2013.

ABNT NBR ISO/IEC 27004:2010.

#9. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. Devido a questões econômicas, a norma em questão não cobre empresas de pequeno porte. ? ... "Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos)." ... "Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza."

Verdadeiro

Falso

#10. (FCC – SEFAZ/SP/2013) Considere a implantação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a NBR ISO 27001. A primeira etapa do processo é estabelecer o SGSI, que inclui, dentre outras atividades, ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

responsabilizar-se por revisões regulares.

gerenciar as operações do SGSI.

formular um plano de tratamento de risco que identifique a ação de gestão.

definir como medir a efetividade dos controles selecionados.

preparar uma declaração de aplicabilidade.

#11. (CESPE – ANTAQ/2014) Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.

Verdadeiro

Falso

#12. (CESPE – CNJ/2013) A segurança física e do ambiente é descrita na norma ABNTN BR ISO/IEC 27001, que estabelece orientação para segurança dos cabeamentos de energia e de telecomunicações, destacando o modo como esses cabeamentos devem ser protegidos contra interceptação ou danos. ? "Segurança do cabeamento: O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação ou danos."

Falso

Verdadeiro

#13. (CESPE – SERPRO/2013) Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.

Falso

Verdadeiro

#14. (CESPE – TRT – 8ª Região/2016) De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. "

seja totalmente independente de requisitos legais e desvinculada de obrigações contratuais.

seja elaborada pela direção e formalmente aprovada pela maioria dos empregados da organização.

esteja alinhada com o contexto estratégico de gestão de riscos da organização.

inclua, em seu texto, um estudo detalhado dos riscos previamente avaliados.

seja escrita essencialmente com base em um modelo de SGSI padronizado para organizações de porte similar.

#15. (CESPE – TRE-PI/2016) A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras.
Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.

A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico.

Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação.

Para que os controles de acessos físico e lógico sejam implementados de forma consistente em diferentes sistemas e redes do órgão, é recomendada a prévia classificação, quanto à segurança necessária, dos ativos de informação a eles relacionados.

A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente.

A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão.

#16. (CESPE – SERPRO/2013) Para se estabelecer um SGSI, é necessário definir a estratégia de avaliação dos riscos, que é importante para a preparação da declaração de aplicabilidade. ? A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.

Verdadeiro

Falso

#17. (CESPE – MPOG/2015) Segundo a ISO 27001, os controles são classificados em três categorias: obrigatórios, como os documentos da política de segurança da informação; os mandatórios, como os perímetros de segurança física; e os desejáveis, entre os quais se incluem os acordos de confidencialidade.

Falso

Verdadeiro

#18. (CESPE – SERPRO/2013) Entre os documentos que fazem parte da documentação de um SGSI, estão incluídas a declaração da política do SGSI, o escopo do SGSI e o plano de tratamento de risco. ? A documentação do SGSI deve incluir: a) declarações documentadas da política e objetivos do SGSI; b) o escopo do SGSI; c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos; e) o relatório de análise/avaliação de riscos; f) o plano de tratamento de riscos; g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) registros requeridos por esta Norma; i) a Declaração de Aplicabilidade.

Verdadeiro

Falso

#19. (CESPE – ANTAQ/2014) Um sistema de gestão da segurança da informação (SGSI) estabelece, implementa, opera, monitora, mantém e melhora a segurança da informação da organização, ainda que não esteja voltado a aspectos como estrutura organizacional, políticas, procedimentos, processos e recursos. ? "SGSI: a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. NOTA: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. "

Verdadeiro

Falso

#20. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. A referida norma adota o modelo de melhoria contínua PDCA, que apresenta as seguintes etapas: PLAN — estabelecer o SGSI; DO — implementar e operar o SGSI; CHECK — monitorar e analisar criticamente o SGSI; e ACT — manter e melhorar o SGSI ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."

Falso

Verdadeiro

#21. (FCC – TRT – 15ª Região/2015) Sobre as definições aplicadas na NBR ISO/IEC 27001:2006, considere:
I. Segurança da informação é a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.
II. Evento de segurança da informação é um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
III. Incidente de segurança da informação é uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
IV. Confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
Está correto o que consta APENAS em ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

II e IV.

I e II.

I e IV.

III e IV.

II e III.

Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas.

Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, INDICANDO UMA POSSÍVEL violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.

#22. (CESPE – SERPRO/2013) A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

Falso

Verdadeiro

#23. Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser ? "A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. "

distintos ao plano de negócio da organização.

independentes da política de segurança da informação.

elaborados considerando os tratamentos de riscos.

mantidos em segredo pela alta direção da organização.

fixos e imutáveis para possibilitar a avaliação de desempenho.

#24. (FCC – TRT – 3ª Região (MG)/2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que ? "Análise crítica dos direitos de acesso de usuário: O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. "

os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.

os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.

os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.

um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.

uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.

#25. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

qualquer acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas seja controlado.

sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção.

as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização e garantam que tais atividades sejam executadas em conformidade com a política de segurança da informação.

as atividades de segurança da informação identifiquem as ameaças significativas e a exposição da informação e dos recursos de processamento da informação a essas ameaças.

o documento da política contenha declarações relativas às políticas, princípios, normas e requsitos de conformidade de segurança da informação específicos, incluindo consequências das violações na política de segurança da informação.

#26. (CESPE – ANATEL/2014) Na norma ISO 27001, recomenda-se que, no contexto da ação preventiva, a organização identifique tanto alterações nos riscos quanto os consequentes requisitos de ações preventivas, especialmente no que diz respeito aos riscos que tenham sofrido alterações significativas.

Verdadeiro

Falso

#27. (CESPE – TCE-SC/2016) Considerando a NBR ISO 27001, o modelo de gestão e as características do negócio de uma organização não devem ser considerados na elaboração das políticas de segurança da informação, uma vez que os recursos afetados por essas políticas estão relacionados à área de TI. ? "Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. "

Falso

Verdadeiro

#28. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente.
Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura. ? "A ABNT NBR ISO/IEC 27.001 especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. "

Verdadeiro

Falso

#29. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ..."

Falso

Verdadeiro

#30. (FCC – TRT – 15ª Região/2015) Segundo a norma ISO 27001 de 2006, a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes algumas qualidades, EXCETO a

irretratabilidade.

disponibilidade.

integridade.

compatibilidade.

autenticidade.

Teste 1: NBR ISO/IEC 27001: 2006

Materiais de Estudo disponíveis

Teste 1: NBR ISO/IEC 27001

Results

#2. (FCC – TRT – 4ª REGIÃO (RS)/2015) Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:

#8. (MSGás – MSGás/2015) A norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização é a:

#11. (CESPE – ANTAQ/2014) Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.

#13. (CESPE – SERPRO/2013) Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.

#22. (CESPE – SERPRO/2013) A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.

#25. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

#30. (FCC – TRT – 15ª Região/2015) Segundo a norma ISO 27001 de 2006, a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes algumas qualidades, EXCETO a

Deixe uma resposta Cancelar resposta