Juliana Jenny Kolb
Home > Simulados on-line > Questões de Concursos > Tecnologia da Informação (TI) > Questões NBR ISO/IEC 27001
Materiais de Estudo disponíveis
Apostila on-line |
Teste 2: NBR ISO/IEC 27001
Questões extraídas de concursos públicos e/ou provas de certificação. Cada teste apresenta no máximo 30 questões.
Convém que o processo inclua os seguintes requisitos: a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação; Para ler mais sobre o assunto, acesse: NBR ISO/IEC 27002 ( )Results
#1. (CESPE – CNJ/2013) De acordo com a norma ABNT NBR ISO/IEC 27001, informações publicamente disponibilizadas pela organização não requerem mecanismos de proteção para a sua visualização e modificação.
?
"Informações publicamente disponíveis: A integridade das informações disponibilizadas em sistemas publicamente acessíveis deve ser protegida, para prevenir modificações não autorizadas. "
#2. (CESPE – ANAC/2012) Para receber a certificação da NBR ISO/IEC 27001:2005, uma empresa deve possuir sistema de gestão de segurança da informação que contemple todos os controles preconizados e detalhados na referida norma.
?
"Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles sejam excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. "
#3. (CESPE – TRE/RJ/2012) O modelo conhecido como PDCA (plan-do-check-act) é utilizado e aplicado na estruturação de processos do SGSI.
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."
#4. (CESPE – TRE/RJ/2012) Para um SGSI, a organização deve analisar criticamente as avaliações de riscos em intervalos planejados, os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração, entre outros itens, as mudanças relativas a eventos externos.
#5. (CESPE – TRE/RJ/2012) De acordo com o estabelecido na mencionada norma, a organização, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia da informação e a abordagem para a avaliação de riscos.
#6. (CESPE – TRE/RJ/2012) Com base na norma ABNT NBR ISO/IEC 27001, A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma.
?
"Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. "
#7. (FCC – TRT 6ª/2012) Segundo a ISO/IEC 27001, em relação à Provisão de Recursos, a organização deve determinar e prover os recursos necessários para
#8. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. A referida norma é explícita ao afirmar que, em razão de seu caráter privativo, as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros, o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.
#9. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. Entre os controles referentes ao gerenciamento de acesso do usuário, tendo-se em vista assegurar o acesso autorizado e prevenir o não autorizado, o anexo em questão estabelece que a análise crítica de direitos de acesso dos usuários deve ser feita por meio de um processo formal e conduzida em intervalos regulares.
#10. (CESPE – BASA/2012) No que se refere aos objetivos de controle, contidos no Anexo A(normativo) ABNT NBR ISO/IEC 27001, julgue. A integridade de informações disponibilizadas em sistemas acessíveis publicamente não precisa ser alvo da política de segurança, visto que são, por natureza, informações não confidenciais, ou seja, públicas.
#11. (CESPE – BASA/2012) A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.
#12. (CESPE – BASA/2012) Conforme prevê a norma em apreço, em acordo com terceiros referente à aquisição de produtos de TI, dispensa-se o controle do SGSI no que diz respeito a segurança da informação.
?
Os acordos com terceiros envolvendo o acesso, processamento, comunicação ou gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o acréscimo de produtos ou serviços aos recursos de processamento da informação devem cobrir todos os requisitos de segurança da informação relevantes.
#13. (CESPE – BASA/2012) O processo de melhoria do SGSI, previsto pela norma em apreço, consiste em identificar não conformidades potenciais e suas causas; avaliar a necessidade de ações para evitar a ocorrência de não conformidades; determinar e implementar ações preventivas necessárias.
?
"Manter e melhorar o SGSI - A organização deve regularmente: a) Implementar as melhorias identificadas no SGSI; b) Executar as ações preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização; c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder; d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos. "
#14. (CESPE – BASA/2012) A responsabilidade pela implantação do SGSI cabe exclusivamente aos profissionais da área de TI; a direção da organização apenas acompanha o processo.
#15. (CESPE – TRE-MS/2013) Entre as atividades para se estabelecer um SGSI, conforme a norma ABNT NBR ISO/IEC 27.001, inclui-se a
?
A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo; b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia ...; c) Definir a abordagem de análise/avaliação de riscos da organização; d) Identificar os riscos; e) Analisar e avaliar os riscos; f) Identificar e avaliar as opções para o tratamento de riscos; g) Selecionar objetivos de controle e controles para o tratamento de riscos; h) Obter aprovação da direção dos riscos residuais propostos; i) Obter autorização da direção para implementar e operar o SGSI; j) Preparar uma Declaração de Aplicabilidade.
#16. (CESPE – TRE-MS/2013) Com referência à responsabilidade por ativos de informação, a norma ABNT NBR ISO/IEC 27.001 estabelece que a identificação, a documentação e a implementação de regras para que seja autorizado o uso de informações associadas a recursos de processamento de informação devem ser orientadas pelo controle denominado
?
"Uso aceitável dos ativos: Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação. "
#17. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação é um(a):
?
Evento de segurança da informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
#18. (CESPE – TRE-MS/2013) Para prover evidências de conformidade aos requisitos do sistema de gestão de segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 27.001, deve-se
#19. (CESPE – TRE-MS/2013) De acordo com a norma ABNT NBR ISO/IEC 27.001, a gestão da continuidade do negócio tem como objetivo evitar a interrupção de atividades e processos críticos para o negócio, razão por que, no âmbito dessa gestão, devem ser desenvolvidos planos que sejam testados e reavaliados sempre que necessário ou em intervalos de tempos determinados. Nesse sentido, uma mudança que pode provocar a atualização dos planos de continuidade do negócio de uma organização consiste
#20. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, tem-se, com relação ao SGSI (Sistema de Gestão de Segurança da Informação), que a organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo:
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. Para os efeitos desta Norma, o processo usado está baseado no modelo de PDCA ..."
#21. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco é o processo de:
#22. (CESPE – TRE-MS/2013) Com base na norma ABNT NBR ISO/IEC 27.001, para se garantir a confidencialidade da comunicação entre dois computadores, pode-se optar pelo uso de recursos de criptografia para aumentar o nível de segurança no tráfego de informações. Um dos objetivos associados à adoção desse tipo de controle é
?
"Segurança dos serviços de rede: Características de segurança, níveis de serviço e requisitos de gerenciamento dos serviços de rede devem ser identificados e incluídos em qualquer acordo de serviços de rede, tanto para serviços de rede providos internamente como para terceirizados. "
#23. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, o termo declaração de aplicabilidade refere-se a uma declaração documentada que descreve:
?
"Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte: 1) Os objetivos de controle e os controles selecionados e as razões para sua seleção; 2) Os objetivos de controle e os controles atualmente implementados; 3) A exclusão de quaisquer objetivos de controle e controles e a justificativa para sua exclusão. "
#24. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, tem-se, com relação a ações preventivas, que a organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI (Sistema de Gestão de Segurança da Informação), de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas e a prioridade das ações preventivas deve ser determinada com base nos resultados do(a):
#25. (CESPE – TRE-MS/2013) Com base na norma ABNT NBR ISO/IEC 27.001, o fato de uma organização manter computadores desligados ou com a tela travada quando estes não estiverem em uso e não manter papéis com senhas ou descrição de acesso a informações críticas em locais desprotegidos caracteriza a denominada política de mesa limpa e tela protegida. A adoção dessa política objetiva o controle de
#26. (CESPE – TRE-MS/2013) Para proteger uma área que abriga recursos de processamento da informação, um órgão público, com base na norma ABNT NBR ISO/IEC 27001, instalou uma porta com controle de acesso por cartão, de modo a que somente os colaboradores previamente autorizados possam acessar esse ambiente. Nessa situação hipotética, de acordo com a referida norma da ABNT, a medida adotada pelo órgão público associa-se
?
"Perímetro de segurança física: Devem ser utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e recursos de processamento da informação. "
#27. (ESAF – DNIT/2013) Na NBR ISO/IEC 27001:2006, um dos controles da Infraestrutura de Segurança da Informação é:
#28. (CESPE – TL-AL/2012) Com base na NBR ISO/IEC n.º 27.001/2006, assinale a opção correta acerca de definições relacionadas à gestão de segurança da informação.
?
"A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta."
#29. (FCC – TJ-PE/2012) A eficácia dos controles para verificar se os requisitos de segurança da informação foram atendidos deve ser medida, no Sistema de Gestão de Segurança da Informação (SGSI), nas fases
?
"Monitorar e analisar criticamente o SGSI - A organização deve: a) Executar procedimentos de monitoração e análise crítica e outros controles; b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas; c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos; d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos Residuais e os níveis de riscos aceitáveis identificados, levando em consideração mudanças; e) Conduzir auditorias internas do SGSI a intervalos planejados; f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI; g) Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica; h) Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI."
#30. (FCC – ELETROSUL/2016) Considere que na Eletrosul o acesso à informação, recursos de processamento das informações e processos de negócios devem ser controlados com base nos requisitos de negócio e segurança da informação. Assim, convém
?
A correção aparecerá no rodapé da questão, caso você erre ou não selecione uma opção de resposta.