Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Questões NBR ISO/IEC 27001
Materiais de Estudo disponíveis
Apostila on-line |
Teste 1: NBR ISO/IEC 27001
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Segurança da informação: preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. </br> </br> Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, INDICANDO UMA POSSÍVEL violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. </br> </br> Incidente de segurança da informação: um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. </br> </br> Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.Results
#1. (FCC – TJ-AP/2014) Segundo a Norma ABNT NBR ISO/IEC 27001:2006, para prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, podem ser aplicados diversos controles. O controle que NÃO está de acordo com o que descreve a Norma é
#2. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que
#3. Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. "
#4. (FCC – SEFAZ/SP/2013) A NBR ISO 27001 foi elaborada com objetivo de prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A estratégia de processo, ou seja, o ciclo de atividades, para a gestão da segurança adotada na norma, é conhecida como
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."
#5. (MSGás – MSGás/2015) A norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização é a:
#6. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. A referida norma adota o modelo de melhoria contínua PDCA, que apresenta as seguintes etapas: PLAN — estabelecer o SGSI; DO — implementar e operar o SGSI; CHECK — monitorar e analisar criticamente o SGSI; e ACT — manter e melhorar o SGSI
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."
#7. (CESPE – MPOG/2015) Segundo a ISO 27001, os controles são classificados em três categorias: obrigatórios, como os documentos da política de segurança da informação; os mandatórios, como os perímetros de segurança física; e os desejáveis, entre os quais se incluem os acordos de confidencialidade.
#8. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente. Na especificação e na implementação do SGSI, devem-se considerar as necessidades, os objetivos e os requisitos de segurança da organização, mas elas não devem ser influenciadas por seu tamanho nem por sua estrutura.
?
"A ABNT NBR ISO/IEC 27.001 especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. "
#9. (FCC – TRT – 3ª Região (MG)/2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que
?
"Análise crítica dos direitos de acesso de usuário: O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. "
#10. (CESPE – ANTAQ/2014) Segundo a Norma ISO 27001, o monitoramento de um sistema de gestão de segurança da informação é completamente atendido pelos seguintes controles: registros (logs) de auditoria, proteção das informações dos registros (logs) e monitoramento do uso do sistema.
#11. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Os fatores críticos para a implementação bem-sucedida da segurança da informação incluem a compreensão dos requisitos de segurança da informação, a análise e a gestão de riscos.
#12. (CESPE – TCU/2015) De acordo com a NBR ISO/IEC 27001:2013, a organização deve estabelecer, implementar, manter e continuamente melhorar um sistema de gestão da segurança da informação (SGSI). A esse respeito, julgue o item subsequente. Entre os serviços proativos a serem prestados por um grupo de respostas a incidentes de segurança incluem-se a realização de tarefas de auditoria, a avaliação de vulnerabilidades e outras avaliações que visem identificar fraquezas ou vulnerabilidades nos sistemas antes que elas sejam exploradas.
#13. (CESPE – ANATEL/2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para prover um modelo de estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria do sistema de gestão de sistemas de informação (SGSI). Com relação a esse assunto, julgue os itens que se seguem. Devido a questões econômicas, a norma em questão não cobre empresas de pequeno porte.
?
... "Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos)." ... "Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza."
#14. (CESPE – ANTAQ/2014) Um sistema de gestão da segurança da informação (SGSI) estabelece, implementa, opera, monitora, mantém e melhora a segurança da informação da organização, ainda que não esteja voltado a aspectos como estrutura organizacional, políticas, procedimentos, processos e recursos.
?
"SGSI: a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. NOTA: O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. "
#15. (CESPE – CNJ/2013) A segurança física e do ambiente é descrita na norma ABNTN BR ISO/IEC 27001, que estabelece orientação para segurança dos cabeamentos de energia e de telecomunicações, destacando o modo como esses cabeamentos devem ser protegidos contra interceptação ou danos.
?
"Segurança do cabeamento: O cabeamento de energia e de telecomunicações que transporta dados ou dá suporte aos serviços de informações deve ser protegido contra interceptação ou danos."
#16. (CESPE – TRE-PI/2016) A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras. Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.
#17. (FCC – TRT – 15ª Região/2015) Sobre as definições aplicadas na NBR ISO/IEC 27001:2006, considere: I. Segurança da informação é a preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. II. Evento de segurança da informação é um evento simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. III. Incidente de segurança da informação é uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. IV. Confidencialidade é a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. Está correto o que consta APENAS em
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#18. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização
?
"A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ..."
#19. (CESPE – MPOG/2015) A ISO 27001 agrega controles tanto em relação à auditoria quanto à conformidade técnica. A primeira trata dos sistemas de informação a serem auditados, devendo as informações obtidas na auditoria e usadas para análise ser classificadas primeiramente com nível de confidencialidade. A segunda trata dos sistemas a serem periodicamente verificados quanto à sua conformidade com as normas de segurança da informação implementadas.
#20. (CESPE – TCE-SC/2016) Considerando a NBR ISO 27001, o modelo de gestão e as características do negócio de uma organização não devem ser considerados na elaboração das políticas de segurança da informação, uma vez que os recursos afetados por essas políticas estão relacionados à área de TI.
?
"Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. "
#21. (CESPE – ANATEL/2014) Na norma ISO 27001, recomenda-se que, no contexto da ação preventiva, a organização identifique tanto alterações nos riscos quanto os consequentes requisitos de ações preventivas, especialmente no que diz respeito aos riscos que tenham sofrido alterações significativas.
#22. (CESPE – SERPRO/2013) A execução de procedimentos e controles para identificar tentativas e falhas de segurança e incidentes que foram bem-sucedidos faz parte da etapa de implementação e operação do SGSI.
#23. (CESPE – TRT – 8ª Região/2016) De acordo com a norma NBR ISO/IEC 27001, a organização deve definir uma política do SGSI que
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. "
#24. (FCC – SEFAZ/SP/2013) Considere a implantação de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a NBR ISO 27001. A primeira etapa do processo é estabelecer o SGSI, que inclui, dentre outras atividades,
?
A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.
#25. (FCC – TRT – 15ª Região/2015) Segundo a norma ISO 27001 de 2006, a Segurança da Informação é um conjunto de medidas que visam proteger e preservar informações e sistemas de informações, assegurando-lhes algumas qualidades, EXCETO a
#26. (FCC – TRT – 4ª REGIÃO (RS)/2015) Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:
#27. (CESPE – SERPRO/2013) Entre os documentos que fazem parte da documentação de um SGSI, estão incluídas a declaração da política do SGSI, o escopo do SGSI e o plano de tratamento de risco.
?
A documentação do SGSI deve incluir: a) declarações documentadas da política e objetivos do SGSI; b) o escopo do SGSI; c) procedimentos e controles que apoiam o SGSI; d) uma descrição da metodologia de análise/avaliação de riscos; e) o relatório de análise/avaliação de riscos; f) o plano de tratamento de riscos; g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) registros requeridos por esta Norma; i) a Declaração de Aplicabilidade.
#28. (CESPE – SERPRO/2013) Para assegurar que o SGSI continua conveniente com a realidade da organização, a direção deve analisá-lo em intervalos planejados.
?
"A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ... "
#29. (CESPE – SERPRO/2013) Na etapa de melhoria do SGSI, ocorrem as auditorias internas em intervalos planejados.
#30. (CESPE – SERPRO/2013) Para se estabelecer um SGSI, é necessário definir a estratégia de avaliação dos riscos, que é importante para a preparação da declaração de aplicabilidade.
?
A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.