Compartilhando | Teste 1: NBR ISO/IEC 27002

#1. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

sejam tomados certos cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção.

o documento da política contenha declarações relativas às políticas, princípios, normas e requsitos de conformidade de segurança da informação específicos, incluindo consequências das violações na política de segurança da informação.

as atividades de segurança da informação sejam coordenadas por representantes de diferentes partes da organização e garantam que tais atividades sejam executadas em conformidade com a política de segurança da informação.

qualquer acesso aos recursos de processamento da informação da organização e ao processamento e comunicação da informação por partes externas seja controlado.

as atividades de segurança da informação identifiquem as ameaças significativas e a exposição da informação e dos recursos de processamento da informação a essas ameaças.

#2. (CESPE – TRE-PI/2016) A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras.
Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.

A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico.

A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente.

Para que os controles de acessos físico e lógico sejam implementados de forma consistente em diferentes sistemas e redes do órgão, é recomendada a prévia classificação, quanto à segurança necessária, dos ativos de informação a eles relacionados.

Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação.

A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão.

#3. (FCC – TRT – 3ª Região (MG)/2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que ? "Análise crítica dos direitos de acesso de usuário: O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. "

um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.

os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.

os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.

uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.

os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.

#4. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Os fatores críticos para a implementação bem-sucedida da segurança da informação incluem a compreensão dos requisitos de segurança da informação, a análise e a gestão de riscos.

Verdadeiro

Falso

#5. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização ? "A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ..."

Falso

Verdadeiro

#6. (FCC – TRT – 23ª REGIÃO (MT)/2016) De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

a disponibilidade de referências de caráter satisfatórias do usuário, por exemplo, uma profissional e uma pessoal.

a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços.

a confirmação e documentação das qualificações acadêmicas e profissionais do usuário.

verificações financeiras e verificações de registros criminais do usuário.

ações a serem tomadas no caso de o funcionário desrespeitar os requisitos de segurança da informação da organização.

Convém que a política leve em consideração os seguintes itens:

a) requisitos de segurança de aplicações de negócios individuais;

b) política para disseminação e autorização da informação, por exemplo, o princípio “necessidade de conhecer” e níveis de segurança e a classificação das informações (ver 8.2);

c) consistência entre os direitos de acesso e as políticas de classificação da informação em diferentes sistemas e redes;

d) legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços (ver 18.1);

e) gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis;

f) segregação de funções de controle de acesso, por exemplo, pedido de acesso, autorização de acesso, administração de acesso;

g) requisitos para autorização formal de pedidos de acesso (ver 9.2.1);

h) requisitos para análise crítica periódica de direitos de acesso (ver 9.2.5);

i) remoção de direitos de acesso (ver 9.2.6);

j) arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das identidades do usuário e da informação de autenticação secreta;

k) regras para o acesso privilegiado (ver 9.2.3).

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002:2013 ( )

#7. (CESPE – TSJ/2015) Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.

Falso

Verdadeiro

#8. (CESPE – MPOG/2015) Quanto à abrangência, a norma ISO 27002 estabelece diretrizes e princípios gerais para gestão de segurança da informação incluindo a sua implantação, manutenção e melhoria.

Falso

Verdadeiro

#9. (CESPE – MPOG/2015) De acordo com a norma ISO 27002, convém que os acordos com terceiros que envolvam, por exemplo, processamento ou gerenciamento dos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevante, incluindo a possibilidade de indenização a terceiros.

Verdadeiro

Falso

#10. (CESPE – MPOG/2015) A norma ISO 27002 estabelece que seja designado um proprietário para todas as informações e os ativos associados com os recursos de processamento da informação.

Verdadeiro

Falso

#11. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:

organizações agora podem ser certificadas na última revisão (2013) da ISO 27002;

não é mais necessário o gerenciamento de ativos, cuja cláusula foi suprimida na revisão de 2013;

a revisão de 2013 criou uma seção específica para controles criptográficos;

ela tem foco no gerenciamento de risco na segurança da informação.

ela indica a necessidade do uso do ciclo PDCA nos processos da organização;

#12. (CESPE – CGE-PI/2015) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI). ? "Objetivo: ... estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."

Falso

Verdadeiro

#13. (VUNESP – TCE-SP/2015) A norma NBR ISO/IEC 27002:2013 recomenda que seja feita a classificação das informações, proporcionando um nível adequado de proteção. Essa recomendação faz parte da etapa ou seção de ? "Gestão de ativos: alcançar e manter a proteção adequada dos ativos da organização."

controle de acessos.

gestão de ativos.

segurança física e do ambiente.

gerenciamento das operações e comunicações.

gestão de incidentes da segurança da informação.

#14. (FCC – TRE-RR/2015) Considere que um determinado Tribunal Regional Eleitoral esteja definindo uma forma de gerenciar riscos da infraestrutura de TI, incluindo a determinação de políticas, procedimentos, diretrizes, práticas e estruturas organizacionais para estabelecer proteções e contramedidas. De acordo com a Norma ISO/IEC 27002, essa definição para segurança da informação é denominada ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Ativo

Evento

Controle

Recurso

Política

“Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.”

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#15. (FCC – CNMP/2015) A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é ? Ativo intangível é um ativo não monetário identificável sem substância física (CPC, 04 R1). Já para Hoss et. al. (2010): Ativos intangíveis são incorpóreos representados por bens e direitos associados a uma organização.

a base de dados e arquivos.

o plano de continuidade do negócio.

o equipamento de comunicação.

o serviço de iluminação.

a reputação da organização.

#16. (FCC – CNMP/2015) A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que:
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as …… e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.
Corresponde corretamente à lacuna:

descrições de cargo

diretrizes organizacionais

responsabilidades sociais

políticas de segurança

tendências profissionais

#17. (FCC – ELETROSUL/2016) Considere que na Eletrosul o acesso à informação, recursos de processamento das informações e processos de negócios devem ser controlados com base nos requisitos de negócio e segurança da informação. Assim, convém ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

fornecer senhas aos usuários de maneira segura, através de mensagens de e-mail, SMS ou arquivo de senha

que questões de legislação pertinentes e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços estejam em um documento próprio, separado da política de controle de acesso

que os procedimentos de controle de acesso para registro e cancelamento de usuários incluam fornecer aos usuários uma declaração por escrito dos seus direitos de acesso

estabelecer regras baseadas na premissa “tudo é permitido, a menos que expressamente proibido" em lugar da regra mais fraca “tudo é proibido, a menos que seja expressamente permitido"

considerar os controles de acesso lógico e físico separadamente, já que os controles lógicos são mais importantes e devem ter prioridade sobre os demais controles, pois estão descritos na política de segurança da informação

Convém que o processo inclua os seguintes requisitos:

a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação;

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#18. (CESPE – TRE-MS/2013) Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a

ocorrência de defeito em um dos discos de uma estação de trabalho que contenha dois discos rígidos redundantes.

negação de serviço.

permissão para que pessoas não autorizadas trafeguem em perímetro físico.

análise de logs de auditoria.

identificação de nova vulnerabilidade no ambiente de tecnologia da informação.

#19. (CESPE – CNJ/2013) Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Verdadeiro

Falso

Testes de interrupção e recuperação em planos de continuidade? Fala sério …

17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação ( )

Definição: “”Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.”

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#20. (FCC – TCM-GO/2015) A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que, juntas, totalizam 39 categorias principais de segurança. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém

subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos.

uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.

um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.

um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação.

uma introdução, uma ou mais recomendações de utilização, cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático.

#21. (FCC – TCM-GO/2015) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para ? "assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil."

não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso.

evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil.

resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.

#22. (CESGRANRIO – Petrobras/2014) A norma ISO 27002:2005, ao estabelecer regras para o controle de acesso, recomenda que o responsável por essa área leve em conta vários aspectos relacionados à segurança. Um técnico de informática, responsável por essa área, ao trabalhar em conformidade com essa norma, deve ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

basear-se na premissa “tudo é geralmente permitido a menos que seja expressamente proibido”.

considerar as mudanças nas permissões de usuários que são iniciadas automaticamente pelo sistema de informações e aquelas iniciadas por um administrador.

reconhecer que sempre há usuários especiais com privilégios que devem prevalecer por serem exceções sobre a necessidade de segurança.

basear-se na premissa “tudo aquilo que é proibido pode ser permitido pelo gerente de operações”.

reconhecer que todas as regras devem ser sempre atendidas, não havendo regras condicionais em contexto de segurança.

Versão 2013:

9.1.1 Política de controle de acesso ( )

Informações adicionais

Convém que sejam tomados cuidados na especificação de regras de controle de acesso quando se considerar o seguinte:

a) estabelecer regra baseada na premissa de que “Tudo é proibido a menos que expressamente permitido” em lugar da regra mais fraca que “Tudo é permitido, a menos que expressamente proibido”;

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#23. (FCC – TJ-AP/2014) O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é “assegurar que a informação receba um nível adequado de proteção”. Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e
I. dos requisitos legais.
II. da sensibilidade.
III. da criticidade para a organização.
IV. do seu tamanho.
Está correto o que consta APENAS em ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

I e III.

II, III e IV.

II e IV.

I, II e III.

I e IV.

Versão 2005:

“Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção … ”

Versão 2013:

“Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.”

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#24. (FCC – TCE-GO/2014) NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que

procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos.

cada plano especifique o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para execução de cada uma das atividades do plano.

procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente.

uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos sejam coerentes e que haja um único gestor para todos os planos evitando, assim, divergências nas decisões.

procedimentos de recuperação para serviços técnicos alternativos, como processamento de informação e meios de comunicação, sejam normalmente de responsabilidade dos provedores de serviços.

#25. (CESPE – ANATEL/2014) De acordo com a Norma Complementar n.º 06/IN01/DSIC/GSIPR, o programa de gestão de continuidade de negócios de órgão ou entidade da administração pública federal deve ser composto, no mínimo, pelos planos de gerenciamento de incidentes, de continuidade de negócios e de recuperação de negócios.

Verdadeiro

Falso

#26. (CESPE – SERPRO/2013) Regras para a utilização de acesso à Internet e a correio eletrônico integram as diretrizes para implementação do uso aceitável de ativos. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Verdadeiro

Falso

Versão 2013:

13.2.1 Políticas e procedimentos para transferência de informações ( )

Convém que sejam considerados os controles para os requisitos e as possíveis implicações nos negócios, nos aspectos legais e na segurança, relacionadas com a troca eletrônica de dados, com o comércio eletrônico e com o correio eletrônico.

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#27. (CESPE – SERPRO/2013) A estrutura de um plano de continuidade do negócio deve considerar a análise e identificação da causa de cada incidente.

Falso

Verdadeiro

#28. (CESPE – SERPRO/2013) A inclusão da segurança da informação no processo de gestão da continuidade do negócio deve agregar, como elemento-chave, testes e atualizações constantes dos planos e processos implantados. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Falso

Verdadeiro

Convém que a organização verifique se a sua continuidade da gestão da segurança da informação está:

a) testada e verificada a funcionalidade dos processos, procedimentos e controles da continuidade da segurança da informação para garantir que eles são consistentes com os objetivos da continuidade as segurança da informação;

b) testada e verificada quanto ao conhecimento e rotina para operar os procedimentos, processos e controles de continuidade da segurança da informação de modo a assegurar que o seu desempenho está consistente com os objetivos da continuidade da segurança da informação;

c) analisada criticamente quanto à validade e eficácia dos controles de continuidade da segurança da informação, quando os sistemas de informação, processos de segurança da informação, procedimentos e controles ou gestão da continuidade do negócio/gestão de recuperação de desastre e soluções de mudança.

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

#29. (CESPE – SERPRO/2013) Durante a auditoria de sistemas de informação, o auditor líder deve ter perfil de acesso com direito de leitura e escrita aos softwares e dados.

Verdadeiro

Falso

#30. (CESPE – SERPRO/2013) O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

Verdadeiro

Falso

Versão 2005:

… “Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. ” … “requisitos de conscientização, treinamento e educação em segurança da informação.” …

Versão 2013:

5.1.1 Políticas para segurança da informação

Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.

Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação.

Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )

Teste 1: NBR ISO/IEC 27002

Materiais de Estudo disponíveis

Teste 1: NBR ISO/IEC 27002

Results

#1. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que

#6. (FCC – TRT – 23ª REGIÃO (MT)/2016) De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

#7. (CESPE – TSJ/2015) Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.

#8. (CESPE – MPOG/2015) Quanto à abrangência, a norma ISO 27002 estabelece diretrizes e princípios gerais para gestão de segurança da informação incluindo a sua implantação, manutenção e melhoria.

#10. (CESPE – MPOG/2015) A norma ISO 27002 estabelece que seja designado um proprietário para todas as informações e os ativos associados com os recursos de processamento da informação.

#11. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:

#24. (FCC – TCE-GO/2014) NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que

#26. (CESPE – SERPRO/2013) Regras para a utilização de acesso à Internet e a correio eletrônico integram as diretrizes para implementação do uso aceitável de ativos. ? A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.

#27. (CESPE – SERPRO/2013) A estrutura de um plano de continuidade do negócio deve considerar a análise e identificação da causa de cada incidente.

#29. (CESPE – SERPRO/2013) Durante a auditoria de sistemas de informação, o auditor líder deve ter perfil de acesso com direito de leitura e escrita aos softwares e dados.

Deixe uma resposta Cancelar resposta