Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Questões NBR ISO/IEC 27002
Materiais de Estudo disponíveis
Apostila on-line |
Teste 1: NBR ISO/IEC 27002
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Convém que a política leve em consideração os seguintes itens: </br> a) requisitos de segurança de aplicações de negócios individuais; b) política para disseminação e autorização da informação, por exemplo, o princípio “necessidade de conhecer” e níveis de segurança e a classificação das informações (ver 8.2); c) consistência entre os direitos de acesso e as políticas de classificação da informação em diferentes sistemas e redes; d) legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços (ver 18.1); e) gerenciamento de direitos de acesso em um ambiente distribuído e conectado à rede que reconhece todos os tipos de conexões disponíveis; f) segregação de funções de controle de acesso, por exemplo, pedido de acesso, autorização de acesso, administração de acesso; g) requisitos para autorização formal de pedidos de acesso (ver 9.2.1); h) requisitos para análise crítica periódica de direitos de acesso (ver 9.2.5); i) remoção de direitos de acesso (ver 9.2.6); j) arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das identidades do usuário e da informação de autenticação secreta; k) regras para o acesso privilegiado (ver 9.2.3). </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002:2013 ( ) “Controle: forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.” </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Convém que o processo inclua os seguintes requisitos: a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação; Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Testes de interrupção e recuperação em planos de continuidade? Fala sério … </br> </br> 17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação ( ) </br> Definição: “”Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.” </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Versão 2013: </br> 9.1.1 Política de controle de acesso ( ) </br> Informações adicionais </br> Convém que sejam tomados cuidados na especificação de regras de controle de acesso quando se considerar o seguinte: </br> a) estabelecer regra baseada na premissa de que “Tudo é proibido a menos que expressamente permitido” em lugar da regra mais fraca que “Tudo é permitido, a menos que expressamente proibido”; </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Versão 2005: “Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção … ” Versão 2013: “Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.” Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Versão 2013: </br> 13.2.1 Políticas e procedimentos para transferência de informações ( ) </br> Convém que sejam considerados os controles para os requisitos e as possíveis implicações nos negócios, nos aspectos legais e na segurança, relacionadas com a troca eletrônica de dados, com o comércio eletrônico e com o correio eletrônico. </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Convém que a organização verifique se a sua continuidade da gestão da segurança da informação está: a) testada e verificada a funcionalidade dos processos, procedimentos e controles da continuidade da segurança da informação para garantir que eles são consistentes com os objetivos da continuidade as segurança da informação; b) testada e verificada quanto ao conhecimento e rotina para operar os procedimentos, processos e controles de continuidade da segurança da informação de modo a assegurar que o seu desempenho está consistente com os objetivos da continuidade da segurança da informação; c) analisada criticamente quanto à validade e eficácia dos controles de continuidade da segurança da informação, quando os sistemas de informação, processos de segurança da informação, procedimentos e controles ou gestão da continuidade do negócio/gestão de recuperação de desastre e soluções de mudança. </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Versão 2005: </br> … “Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. ” … “requisitos de conscientização, treinamento e educação em segurança da informação.” … </br> </br> Versão 2013: </br> 5.1.1 Políticas para segurança da informação </br> Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação. </br> Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação. </br> </br> Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( ) Results
#1. (FCC – INFRAERO/2011) Em relação à norma NBR ISO/IEC 27002, para detalhes da implementação do controle “10.1.3 − Segregação de funções”, da norma NBR ISO/IEC 27001, convém que
#2. (CESPE – TRE-PI/2016) A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras. Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.
#3. (FCC – TRT – 3ª Região (MG)/2015) Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que
?
"Análise crítica dos direitos de acesso de usuário: O gestor deve conduzir a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo formal. "
#4. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Os fatores críticos para a implementação bem-sucedida da segurança da informação incluem a compreensão dos requisitos de segurança da informação, a análise e a gestão de riscos.
#5. (CESPE – TCE-SC/2016) À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação. Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização
?
"A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI ..."
#6. (FCC – TRT – 23ª REGIÃO (MT)/2016) De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#7. (CESPE – TSJ/2015) Conforme disposto na norma ISO 27002, as senhas de acesso devem, necessariamente, ser de uso pessoal e individual bem como devem ser mantidas sob sigilo.
#8. (CESPE – MPOG/2015) Quanto à abrangência, a norma ISO 27002 estabelece diretrizes e princípios gerais para gestão de segurança da informação incluindo a sua implantação, manutenção e melhoria.
#9. (CESPE – MPOG/2015) De acordo com a norma ISO 27002, convém que os acordos com terceiros que envolvam, por exemplo, processamento ou gerenciamento dos recursos de processamento da informação cubram todos os requisitos de segurança da informação relevante, incluindo a possibilidade de indenização a terceiros.
#10. (CESPE – MPOG/2015) A norma ISO 27002 estabelece que seja designado um proprietário para todas as informações e os ativos associados com os recursos de processamento da informação.
#11. (FGV – TCE-SE/2015) Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:
#12. (CESPE – CGE-PI/2015) O objetivo principal da norma ISO/IEC 27002 é implantar um sistema de gestão da segurança da informação (SGSI).
?
"Objetivo: ... estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."
#13. (VUNESP – TCE-SP/2015) A norma NBR ISO/IEC 27002:2013 recomenda que seja feita a classificação das informações, proporcionando um nível adequado de proteção. Essa recomendação faz parte da etapa ou seção de
?
"Gestão de ativos: alcançar e manter a proteção adequada dos ativos da organização."
#14. (FCC – TRE-RR/2015) Considere que um determinado Tribunal Regional Eleitoral esteja definindo uma forma de gerenciar riscos da infraestrutura de TI, incluindo a determinação de políticas, procedimentos, diretrizes, práticas e estruturas organizacionais para estabelecer proteções e contramedidas. De acordo com a Norma ISO/IEC 27002, essa definição para segurança da informação é denominada
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#15. (FCC – CNMP/2015) A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é
?
Ativo intangível é um ativo não monetário identificável sem substância física (CPC, 04 R1). Já para Hoss et. al. (2010): Ativos intangíveis são incorpóreos representados por bens e direitos associados a uma organização.
#16. (FCC – CNMP/2015) A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que: Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as …… e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos. Corresponde corretamente à lacuna:
#17. (FCC – ELETROSUL/2016) Considere que na Eletrosul o acesso à informação, recursos de processamento das informações e processos de negócios devem ser controlados com base nos requisitos de negócio e segurança da informação. Assim, convém
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#18. (CESPE – TRE-MS/2013) Na gestão de incidentes de segurança da informação, de acordo com a norma ABNT NBR ISO/IEC 27.002, deve-se considerar que alguns procedimentos sejam estabelecidos de acordo com o evento ocorrido. Segundo essa norma, os eventos que demandam a criação de procedimentos para o seu tratamento incluem a
#19. (CESPE – CNJ/2013) Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio.
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#20. (FCC – TCM-GO/2015) A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que, juntas, totalizam 39 categorias principais de segurança. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém
#21. (FCC – TCM-GO/2015) A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para
?
"assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil."
#22. (CESGRANRIO – Petrobras/2014) A norma ISO 27002:2005, ao estabelecer regras para o controle de acesso, recomenda que o responsável por essa área leve em conta vários aspectos relacionados à segurança. Um técnico de informática, responsável por essa área, ao trabalhar em conformidade com essa norma, deve
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#23. (FCC – TJ-AP/2014) O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é “assegurar que a informação receba um nível adequado de proteção”. Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e I. dos requisitos legais. II. da sensibilidade. III. da criticidade para a organização. IV. do seu tamanho. Está correto o que consta APENAS em
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#24. (FCC – TCE-GO/2014) NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que
#25. (CESPE – ANATEL/2014) De acordo com a Norma Complementar n.º 06/IN01/DSIC/GSIPR, o programa de gestão de continuidade de negócios de órgão ou entidade da administração pública federal deve ser composto, no mínimo, pelos planos de gerenciamento de incidentes, de continuidade de negócios e de recuperação de negócios.
#26. (CESPE – SERPRO/2013) Regras para a utilização de acesso à Internet e a correio eletrônico integram as diretrizes para implementação do uso aceitável de ativos.
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#27. (CESPE – SERPRO/2013) A estrutura de um plano de continuidade do negócio deve considerar a análise e identificação da causa de cada incidente.
#28. (CESPE – SERPRO/2013) A inclusão da segurança da informação no processo de gestão da continuidade do negócio deve agregar, como elemento-chave, testes e atualizações constantes dos planos e processos implantados.
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.
#29. (CESPE – SERPRO/2013) Durante a auditoria de sistemas de informação, o auditor líder deve ter perfil de acesso com direito de leitura e escrita aos softwares e dados.
#30. (CESPE – SERPRO/2013) O documento de política de segurança da informação declara o comprometimento da alta direção da organização e descreve os requisitos de conscientização e treinamento em segurança da informação.
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.