Compartilhando | Teste 1: NBR ISO/IEC 27002:2013

#1. (FCM – IF Sudeste – MG/2016) De acordo com as Normas ABNT NBR ISO/IEC 27001:2013 e 27002:2013, são objetivos de controle, EXCETO:

Garantir a segurança das informações no trabalho remoto e no uso de dispositivos móveis.

Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.

Assegurar que toda informação receba um nível alto de proteção, independente de sua importância para a organização.

Prover orientação da direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

Assegurar, antes da contratação, que funcionários entendam suas responsabilidades e estejam em conformidade com os papéis para os quais eles foram selecionados.

#2. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:

ela indica a necessidade do uso do ciclo PDCA nos processos da organização;

a revisão de 2013 criou uma seção específica para controles criptográficos;

não é mais necessário o gerenciamento de ativos, cuja cláusula foi suprimida na revisão de 2013;

organizações agora podem ser certificadas na última revisão (2013) da ISO 27002;

ela tem foco no gerenciamento de risco na segurança da informação.

#3. (UFSM – UFSM/2017) Assinale a alternativa que descreve corretamente a política de segurança da informação de acordo com as normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013.

Normas e procedimentos que definem os elementos da informação que devem ser seguros.

Normas de segurança para utilização dos recursos computacionais que manipulam a informação.

Conjunto de regras gerais que direcionam a segurança da informação e são suportadas por normas e procedimentos.

Normas para a criação de senhas.

Normas de autenticação e autorização para o uso de recursos que utilizam a informação.

#4. (FCC – SABESP/2018) Em relação aos controles de acesso, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que

os proprietários dos ativos determinem regras apropriadas de controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados

os proprietários dos ativos sejam os responsáveis por definir a política de controle de acesso da organização, ficando responsáveis pela sua documentação e análise crítica com base nos requisitos de segurança da informação e dos negócios.

a política de controle de acesso da organização seja feita em documentos e por pessoas distintas, cada qual ficando responsável por elaborar os controles de acesso lógico, os controles de acesso físico e os controles operacionais de forma separada, visando mitigar os riscos de segurança da informação.

seja estabelecida a regra “tudo é permitido a menos que expressamente proibido”, que é mais forte que a regra “tudo é proibido a menos que expressamente permitido”.

seja contemplada a regra geral para todos os perfis de acesso “você não tem permissão para acessar nenhuma informação” para que somente o proprietário da informação possa liberar o acesso à informação quando esta for necessária ao desempenho da função.

#5. (FCM – IF Sudeste – MG /2016) De acordo com as Normas ABNT NBR ISO/IEC 27001:2013 e 27002:2013, para manter a segurança da informação, são objetivos de controle os seguintes itens, EXCETO:

Assegurar a integridade e a correta execução dos processos de negócio.

Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e a serviços.

Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.

Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou integridade da informação.

Prevenir o acesso físico não autorizado, danos e interferências aos recursos de processamento das informações e as informações da organização.

#6. (FCC – SABESP/2018) Em relação à gestão dos ativos de informação, a Norma ABNT NBR ISO/IEC 27002:2013 recomenda que

o ciclo de vida da informação inclua a sua criação, armazenamento, transmissão e, após a perda de sua validade, o acompanhamento até seu desaparecimento.

pessoas e outras entidades que tenham responsabilidades aprovadas pela direção para qualificar o ciclo de vida do ativo não sejam designadas como o proprietário deste ativo.

um funcionário ou partes externas nunca usem seu equipamento pessoal para trabalhar nas dependências da organização e que procedimentos sejam adotados para assegurar que toda a informação relevante não possa ser utilizada fora da organização e de seus equipamentos inventariados.

os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização em termos do CID e que estes sejam atualizados de acordo com as mudanças do seu valor ao longo do seu ciclo de vida.

cada um dos ativos identificados tenha um proprietário indicado e também sejam indicados e assegurados todos os direitos de propriedade sobre o ativo.

#7. (CONSULPLAN – TRF 11; 2ª REGIÃO/2017) Uma boa política de segurança define controles lógicos e físicos assegurando um determinado nível de disponibilidade dos serviços, confiabilidade dos dados e serve de referência para as ações de treinamento dos usuários e demais procedimentos de segurança.
A ISO/IEC 27.000 apresenta uma introdução geral de um sistema da segurança da informação e fornece um glossário, contendo definições da maioria dos termos.
Analise as afirmativas a respeito das Normas NBR ISO/IEC nº 27.001:2013, NBR ISO/IEC nº 27002:2013 e NBR ISO/IEC nº27005:2011.
I. Na ótica da NBR ISO/IEC nº 27.001:2013 e NBR ISO/IEC nº 27.002:2013, a segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes, um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização.
II. A norma NBR ISO/IEC nº 27.005:2011 fornece diretrizes para o processo de gestão de riscos de segurança da informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a Norma NBR ISO/IEC nº 27.001, incluindo um método específico para a gestão de riscos de segurança da informação. Cabendo à organização a implementação e à adequação do modelo a estrutura do negócio.
III. A seleção de controles de segurança da informação depende das decisões da organização, criando sua própria legislação e regulamentação baseadas nos critérios internos da organização para aceitação de risco.
Está(ão) correta(s) apenas a(s) afirmativa(s)

I.

I e II.

I e III.

II e III.

Teste 1: NBR ISO/IEC 27002:2013

Materiais de Estudo disponíveis