Compartilhando | Teste 1: NBR ISO/IEC 27001: 2013

#1. (CETAP – MPC-PA/2015) Segundo a norma NBR ISO/IEC 27001:2013, os objetivos de segurança de informação devem ser:

consistentes com a política de desenvolvimento, atingíveis, comunicados e atualizados, conforme apropriado.

consistentes com a política de segurança da informação, atingíveis, atualizados conforme apropriado e priorizados.

consistentes com a política de segurança da informação, mensuráveis, comunicados e atualizados, conforme apropriado.

consistentes com o plano de custos, mensuráveis e aprovados pelo conselho diretor.

atuais, mensuráveis, atingíveis, comunicados e atualizados, conforme apropriado.

#2. (CESPE – TCE-PA /2016) No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013. Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.

Falso

Verdadeiro

#3. (IESES – BAHIAGÁS/2016) De acordo com a norma ABNT NBR ISO/IEC 27001 de 2013, a organização deve conduzir auditorias internas do SGSI. Assinale a alternativa INCORRETA.

A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI atendem aos requisitos de segurança da informação identificados.

A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI são executados conforme esperado.

A organização deve conduzir auditorias internas do SGSI a intervalos determinados pela direção para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI atendem aos requisitos da organização e de seus parceiros.

A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.

A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI estão mantidos e implementados eficazmente.

#4. (FCC– Prefeitura de Teresina – PI/2016) The need of protection against malware and logging and monitoring of information system in an organization is addressed in the section

Organization of Information Security.

Operations Security.

Information Security Incident Management.

System Acquisition, Development and Maintenance.

Communication Security.

#5. (FCC – SANASA Campinas/2019) A Norma ABNT NBR ISO/IEC 27001:2013 provê requisitos para orientar organizações que desejam implantar um sistema de gestão de segurança da informação, e

apresenta requisitos genéricos que podem ser aplicáveis a todas as organizações, independentemente do tipo, tamanho ou natureza.

pode ser usada somente por partes internas da organização para avaliar sua capacidade em atender aos seus próprios requisitos de segurança da informação.

possui anexo “Referência ao conjunto de potenciais riscos de segurança da informação” que estão necessariamente alinhados com a Norma ABNT NBR ISO/IEC 27002:2018.

não inclui requisitos para avaliação e tratamento de riscos de segurança da informação, mas indica a norma que orienta sobre este assunto.

possui diversos requisitos nas seções que tratam do contexto da organização (seção 4) e melhoria (seção 10) que podem ser ignorados mesmo por organizações que buscam conformidade com esta Norma.

#6. (FCC– TRT – 23ª REGIÃO (MT) /2016) Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser

fixos e imutáveis para possibilitar a avaliação de desempenho.

distintos ao plano de negócio da organização.

elaborados considerando os tratamentos de riscos.

independentes da política de segurança da informação.

mantidos em segredo pela alta direção da organização.

#7. (FCC– Prefeitura de Teresina – PI/2016) De acordo com a Norma NBR ISO/IEC 27001:2013, a ação da Alta Direção de orientar e apoiar pessoas que contribuam para a eficácia do sistema de gestão da segurança faz parte do tópico:

Papéis organizacionais.

Autoridade.

Responsabilidade.

Política.

Liderança e comprometimento.

#8. (FCC– Prefeitura de Teresina – PI/2016) Concerning the objectives of asset management, one of them is to

ensure that information receives an appropriate level of protection in accordance with its importance to the organization.

protect the organization’s interests as part of the process of changing.

make users accountable for safeguarding their authentication information.

ensure that employees and collaborators understand their responsibilities and are suitable for the roles of the organization.

ensure authorized user access and to prevent unauthorized access to systems and services.

#9. (FCC– TRT – 24ª REGIÃO (MS) /2017) A norma ABNT NBR ISO/IEC 27001:2013 apresenta como anexo uma tabela com controles e objetivos de controle alinhados com os existentes na norma ABNT NBR ISO/IEC 27002:2013. Uma colaboradora de nível técnico, utilizando os controles relacionados à segurança em processos de desenvolvimento e de suporte dessa tabela deve saber que

programas de testes de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.

mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas por procedimentos informais de controle de mudanças.

a organização não deve contratar empresas terceirizadas para realizar atividades de desenvolvimento de sistemas de informação.

testes de funcionalidade de segurança devem ser realizados somente quando o sistema estiver pronto.

modificações em pacotes de software devem ser encorajadas e não devem estar limitadas apenas às mudanças necessárias, porém, todas as mudanças devem ser documentadas.

#10. (VUNESP – TCE-SP /2015) Na norma NBR ISO/IEC 27001:2013, no item que trata do estabelecimento de um sistema de gestão da segurança da informação (SGSI), há a indicação da necessidade da fase de identificação dos riscos. Uma das atividades contempladas nessa fase é:

identificar os riscos e seus responsáveis.

estimar os níveis de risco presentes.

aplicar as ações corretivas preconizadas no plano de recuperação de desastres.

transferir os riscos identificados para outros sistemas similares.

determinar a aceitação ou não dos riscos pelos usuários do sistema.

#11. (FCC – MPE-PE/2018) A norma NBR ISO/IEC 27001:2013 fornece requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação. Considerando o ciclo PDCA, um escopo de requisito da norma que pertencente ao “D” – DO é:

Liderança.

Avaliação de desempenho.

Melhoria.

Planejamento.

Apoio.

#12. (FCC – TJ-MA /2019) A norma ABNT NBR ISO/IEC 27001:2013, no que tange à coleta de evidências no processo de gestão de incidentes de segurança da informação, indica, como controle, que

incidentes de segurança devem ser documentados e disponibilizados para todos os colaboradores de TI da instituição, incluindo as evidências relacionadas a estes incidentes.

incidentes e evidências de segurança da informação devem ser documentados em um repositório não público, acessível a todos os colaboradores autorizados.

os conhecimentos obtidos da análise e resolução de incidentes de segurança devem ser usados para contornar incidentes sem gravidade e identificar evidências que não são claramente identificadas.

a responsabilidade na coleta de evidências deve ser atribuída a todos os colaboradores da área de TI, para assegurar respostas rápidas, efetivas e ordenadas aos incidentes de segurança.

a organização deve definir e aplicar procedimentos para identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.

#13. (FCM – IF Sudeste – MG/2016) De acordo com as Normas ABNT NBR ISO/IEC 27001:2013 e 27002:2013, são objetivos de controle, EXCETO:

Garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis.

Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.

Assegurar, antes da contratação, que funcionários entendam suas responsabilidades e estejam em conformidade com os papéis para os quais eles foram selecionados.

Assegurar que toda informação receba um nível alto de proteção, independente de sua importância para a organização.

Prover orientação da direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

#14. (FCC– Prefeitura de Teresina – PI/2016) The reason why you must have an information security police in your organization is to

ensure that everyone knows who is responsible for backup procedures.

give overall responsibility to the steering committee.

give direction to set up information security in the organization.

ensure that staff do not break any laws of the organization.

define who is responsible to provide any resources for security implementation.

#15. (FCC– TRT – 4ª REGIÃO (RS) /2015) Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:

Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público.

Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles.

Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI.

Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado.

Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco.

#16. (FCM – IF Sudeste – MG/2016) De acordo com as Normas ABNT NBR ISO/IEC 27001:2013 e 27002:2013, para manter a segurança da informação, são objetivos de controle os seguintes itens, EXCETO:

Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e a serviços.

Assegurar a integridade e a correta execução dos processos de negócio.

Prevenir o acesso físico não autorizado, danos e interferências aos recursos de processamento das informações e as informações da organização.

Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.

Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação.

#17. (FCC– TRF – 5ª REGIÃO/2017) Considere que PSI se refere à Política de Segurança da Informação e SGSI se refere ao Sistema de Gestão da Segurança da Informação. De acordo com a Norma ABNT NBR ISO/IEC 27001:2013, dentre as atribuições da Alta Direção inclui-se

definir os objetivos da segurança da informação para que a estrutura organizacional possa aplicá-los.

atribuir responsabilidade e autoridade para assegurar que o SGSI está em conformidade com os requisitos da Norma e para relatar o desempenho do SGSI dentro da organização e para a própria Alta Direção.

estabelecer uma PSI que inclua o comprometimento com a melhoria contínua do SGSI com base no estágio Melhoria Contínua da ITL v3 edição 2011.

estabelecer uma PSI que inclua o comprometimento em satisfazer os requisitos da segurança da informação com base nos habilitadores do COBIT 5ª edição.

estabelecer uma PSI que atenda aos propósitos da Norma antes dos propósitos da organização.

#18. (FCC– Prefeitura de Teresina – PI/2016) You are the manager of supplier services of the company. The purpose of monitoring supplier’s services is to ensure that suppliers

pay out any loss that have happened due to their weak quality of service.

pay out in full in case they do not abide by the agreements.

comply with the information security requirements defined in the agreements.

fulfill the agreed levels of delivery performance.

pay out the damages that have happened as a consequence of incidents.

#19. (FCC– TRT – 20ª REGIÃO (SE) /2016) Considere que o Tribunal Regional do Trabalho esteja seguindo orientações da norma ABNT NBR ISO/IEC 27001:2013. Ao se definir quem deve estabelecer uma política de segurança da informação que seja apropriada ao propósito da organização, o correto é atribuir à

Alta Direção.

Gerência de Tecnologia da Informação.

Gerência de Recursos Humanos.

Gerência de Projetos.

Comissão de Segurança da Informação.

#20. (FCC– Prefeitura de Teresina – PI/2016) One security control used for physical and environmental security controls is

use of interactive password management system.

any equipment should be repaired only by personnel of the company.

secure disposal of equipment by destroying any storage media.

securing mobile equipment against theft when used outside company.

contracting Private Encryption Key services.

#21. (FCC – TRT – 9ª REGIÃO (PR)/2015) De acordo com a norma ABNT NBR ISO/IEC 27001:2013, a alta direção deve demonstrar liderança e comprometimento em relação ao sistema de gestão da segurança por meio

da distinção e separação dos requisitos do sistema de gestão da segurança da informação com os dos processos da organização.

do apoio a outros papéis relevantes da gestão para demonstrar como sua liderança se aplica às áreas sob sua responsabilidade.

da garantia de confidencialidade entre os membros da alta direção das diretrizes de gestão eficaz da segurança da informação.

da coordenação e gerenciamento da atuação de pessoas que contribuam para eficácia do sistema de gestão da segurança da informação.

do estabelecimento de que os recursos necessários para o sistema de gestão da segurança da informação sejam providenciados pelos responsáveis.

#22. (FGV – Banestes /2018) A adoção de um Sistema de Gestão de Segurança da Informação (SGSI) é uma decisão estratégica para as organizações. De acordo com a norma ABNT NBR ISO/IEC 27001:2013, quando ocorre uma não conformidade no SGSI, a organização deve:

determinar se não conformidades similares existem, ou podem potencialmente ocorrer;

impedir mudanças no Sistema de Gestão de Segurança da Informação para assegurar que auditorias internas possam ser realizadas;

aceitar que impactos adversos podem ocorrer na operação e esperar que não volte a se repetir;

forçar sua repetição ou ocorrência para comunicar às partes interessadas de forma apropriada.

evitar reagir à não conformidade de modo a controlá-la ou corrigi-la;

#23. (FCC– Prefeitura de Teresina – PI/2016) The reason why you must have an information security police in your organization is to

give direction to set up information security in the organization.

give overall responsibility to the steering committee.

ensure that staff do not break any laws of the organization.

define who is responsible to provide any resources for security implementation.

ensure that everyone knows who is responsible for backup procedures.

#24. (FCC – TRT – 20ª REGIÃO (SE)/2016) A norma ABNT NBR ISO/IEC 27001:2013 traz uma tabela com controles e objetivos de controle que devem estar alinhados com o tratamento de riscos de segurança da informação. Um destes controles tem como objetivo

garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis.

regulamentar os registros de eventos (logs) de todos os funcionários, exceto dos administradores do sistema.

definir um inventário de ativos de hardware e software, cujos proprietários devem ser os funcionários da alta gestão.

regulamentar a classificação das informações exclusivamente com base no seu valor e criticidade.

definir os procedimentos informais pelos quais as mídias devem ser descartadas quando não forem mais necessárias.

#25. (UPENET/IAUPE – UPE/2017) Considerando-se as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, recomenda-se, como política de controle de acesso às informações e aos recursos de processamento organizacional, que haja

responsabilização dos proprietários de ativos que devem revisar os direitos de acesso dos usuários em intervalos regulares.

um cadastro de solicitação de cancelamento a ser preenchido offline por todos os usuários quando do cancelamento do serviço.

uma política de controle de acesso baseada na verificação por amostragem dos usuários dos serviços.

manutenção dos direitos de acesso dos funcionários às informações e aos recursos de processamento quando da mudança de cargo desses funcionários.

restrição aos usuários em relação a qualquer acesso dos serviços da rede, com exceção dos proprietários de ativos.

#26. (IADES – SES-DF /2018) De acordo com a ABNT NBR ISO/IEC 27001:2013, quando uma não conformidade ocorre, a organização deve reter informação documentada

dos resultados das avaliações de risco de segurança da informação.

como evidência dos resultados das análises críticas pela direção.

como evidência dos resultados de qualquer ação corretiva.

como evidência dos programas da auditoria e dos resultados desta.

dos resultados do tratamento dos riscos de segurança da informação.

#27. (FCC– TRT – 3ª Região (MG)/2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que

os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.

um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.

os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.

uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.

os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.

#28. (UFSM – UFSM /2017) Assinale a alternativa que descreve corretamente a política de segurança da informação de acordo com as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.

Normas para a criação de senhas.

Conjunto de regras gerais que direcionam a segurança da informação e são suportadas por normas e procedimentos.

Normas de segurança para utilização dos recursos computacionais que manipulam a informação.

Normas e procedimentos que definem os elementos da informação que devem ser seguros.

Normas de autenticação e autorização para o uso de recursos que utilizam a informação.

#29. (CETAP – MPC-PA /2015) Segundo a norma NBR ISO/IEC 27001:2013, no que se refere ao monitoramento da eficácia do sistema de gestão de segurança da informação, a organização deve determinar os seguintes elementos, exceto:

Quem deve analisar e avaliar estes resultados.

Quando os resultados do monitoramento e da medição devem ser analisados e avaliados.

Quanto deve custar o monitoramento e medição.

O que precisa ser monitorado e medido.

Quando o monitoramento e medição devem ser realizados.

#30. (UPENET/IAUPE – UPE /2017) Consiste em uma das atividades previstas na fase de identificação de riscos, relativas à implantação de um sistema de gerenciamento e gestão da segurança da informação, definidas na norma NBR ISO/IEC 27001:2013:

Bloquear os usuários que exibam histórico de riscos prováveis ao sistema.

Identificar quais os riscos potenciais para o sistema e quais os responsáveis por tais riscos.

Identificar ações de segurança de acesso dos usuários ao sistema, tais como biometria e política de senhas.

Bloquear operações do sistema que exibam histórico de riscos prováveis ao sistema.

Solicitar dos usuários do sistema um histórico (log) de falhas relativas a suas interações anteriores com sistemas similares.

Teste 1: NBR ISO/IEC 27001: 2013