Pesquisar este blog

segunda-feira, 21 de maio de 2012

Norma ISO 17799 e 27001 - Q36


Com relação às normas NBR ISO/IEC 27001 e 27002, referentes à gestão de segurança da informação, julgue os itens que se seguem.

Um dos controles da política de segurança da informação estabelece que ela deve ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
  •  Certo       Errado
ABNT NBR ISO/IEC 17799:2005

 

5  Política de segurança da informação

5.1  Política de segurança da informação


5.1.2  Análise crítica da política de segurança da informação

Controle

Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.

Norma ISO 17799 e 27001 - Q35


A respeito de ataques a redes de computadores, prevenção e tratamento de incidentes.
Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação.
  •  Certo       Errado
Exatamente o descrito na norma ISO 27001:
A.13.2 Gestão de incidentes de segurança da informação e melhorias
A.13.2.1 Responsabilidades e procedimentos
Controle: "Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar respostas rápidas, efetivas e ordenadas a incidentes de segurança da informação."

Norma ISO 17799 e 27001 - Q34


A fim de proteger a integridade do hardware e da informação, devem ser implantados, em locais apropriados, controles de detecção, prevenção e recuperação para proteger contra códigos maliciosos, assim como procedimentos para a devida conscientização dos usuários.
  •  Certo       Errado
Controles de detecção, prevenção e recuperação contra códigos maliciosos não são efetivos para proteger a integridade de um hardware. Para tal, seria necessário controles de ambiente físico.

Norma ISO 17799 e 27001 - Q33


Nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), evidências devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição ou jurisdições pertinentes.
  •  Certo       Errado
Observem que a questão só é CERTA porque na prova não diz que é pra se basear na 27001 ou na 27002 (uma ou outra, exclusivamente).

Porque se a questão mencionasse que era com base somente na 27002 a questão estaria ERRADA, pois para a 27002 é usado o termo CONVÉM ao invés de DEVEM.

Norma ISO 17799 e 27001 - Q32


Considere: 

I. Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. 

II. Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. 

III. Garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. 

Na ISO/IEC 17799, I, II e III correspondem, respectivamente, a
  •  a) disponibilidade, integridade e confiabilidade.
  •  b) confiabilidade, integridade e distributividade.
  •  c) confidencialidade, integridade e disponibilidade.
  •  d) confidencialidade, confiabilidade e disponibilidade.
  •  e) integridade, confiabilidade e disponibilidade.

Norma ISO 17799 e 27001 - Q32


A norma ABNT NBR ISO/IEC 27001:2006 cobre organizações do tipo 
  •  a) comerciais, somente.
  •  b) governamentais, somente.
  •  c) sem fins lucrativos, somente.
  •  d) comerciais e governamentais, somente.
  •  e) comerciais, governamentais e sem fins lucrativos.

Norma ISO 17799(27002) - Q31


O documento relativo à política de segurança da informação deve ser aprovado pela direção da empresa, publicado e comunicado a todos os funcionários e às partes externas relevantes.
  •  Certo       Errado
No que se refere a ISO 27001 é DEVE, e no que se refere a 27002 é CONVÉM.
Lembrando que a 27002 é boas práticas, então quando vier deve, fique atento.

Norma ISO 17799 e 27001 - Q30


Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações:
As instalações de processamento da informação gerenciadas pela organização podem permanecer fisicamente juntas das que são gerenciadas por terceiros, desde que o acesso ao local seja devidamente controlado.
  •  Certo       Errado

7.1.3 Segurança em escritórios, salas e instalações de processamento
f) Convém que as instalações de processamento da informação gerenciadas pela organização fiquem fisicamente separadas daquelas gerenciadas por prestadores de serviço"

Norma ISO 17799 e 27001 - Q29


Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações.
As ações que minimizam o risco de vazamento de informações mediante o uso e a exploração de covert channels incluem a varredura do envio de mídias e comunicações, para verificação da presença de informação oculta; o mascaramento e a modulação do comportamento dos sistemas e das comunicações, a fim de evitar que terceiros subtraiam informações dos sistemas; e o monitoramento regular do uso dos recursos computacionais e das atividades do pessoal.
  •  Certo       Errado

ABNT NBR ISO/IEC 17799/2005



12.5.4 Vazamento de informações



Controle

Convém que oportunidades para vazamento de informações sejam prevenidas.

Diretrizes para implementação

Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informações, por exemlpo através do uso e exploração de covert channels*:

a) a varredura do envio de mídia e comunicações para verificar a presença de informação oculta;

b) o mascaramento e a modulação do comportamento dos sistemas e das comunicações para reduzir a possibilidade de terceiros deduzirem informações a partir do comportamento dos sistemas;

c) a utilização de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados;

d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislação ou regulamentação vigente;

e) o monitoramento do uso de recursos de sistemas de computação.

* Os covert channels são caminhos não previstos para conduzir fluxo de informações, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulação de bits no protocolo de pacotes de comunição poderia ser utilizada como um método oculto de sinalização. Devido à sua natureza, seria difícil, se não impossivel, precarver-se contra a existência de todos os possíveis covert channels. No entanto, a exploração destes canais frequentemente é realizada por código troiano. A adoção de medidas de proteção contra código troiano reduz, consequentemente, o risco de exploração decovert channels.

Norma ISO 17799 e 27001 - Q28


Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações.
A autenticação de usuários remotos pode ser alcançada com o emprego de técnicas de criptografia, hardware tokens ou protocolo de desafio/resposta. Essas técnicas são utilizadas em várias soluções de Virtual Private Network.
  •  Certo       Errado

Norma ISO 17799 e 27001 - Q27

Com base na ABNT NBR ISO/IEC 17799/2005, que trata de questões de segurança da informação nas organizações. Nessa norma, são estabelecidos as diretrizes e os princípios gerais para o início, a implementação, a manutenção e a melhoria da gestão de segurança da informação em uma organização.
  •  Certo       Errado

Norma ISO 17799 e 27001 - Q26


Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.
  •  Certo       Errado

Norma ISO 17799 e 27001 - Q25


A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).
  •  Certo       Errado
A fase de Check (checar) consiste em: monitorar, analisar criticamente, realizar auditorias e medir desempenho dos processos. Como a questão cita analises criticas facilita a sua resolução

Norma ISO 17799 e 27001 - Q24


Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.
  •  Certo       Errado

Segundo a norma 27001, o controle relativo a remoção de propriedade quer dizer que nenhum equipamento, informação ou software deve ser retirado do lugar sem autorização prévia.

Não faz nenhuma referência ao controle de acesso ao ativo.

Norma ISO 17799 e 27001 - Q23


Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.
  •  Certo       Errado

Norma ISO 17799 e 27001 - Q22


O estabelecimento de uma política de mesa limpa e tela limpa é um controle diretamente relacionado ao gerenciamento das operações e comunicações, e não ao controle de acessos.
  •  Certo       Errado
Política de mesa limpa e tela limpa é um dos controles descritos em Controle de Acesso na 27002

Norma ISO 17799 e 27001 - Q21


Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta definição pertence a
  •  a) planejar.
  •  b) agir.
  •  c) fazer.
  •  d) confidencializar.
  •  e) checar.



Plan (planejar) (estabelecer o SGSI)

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Do (fazer) (implementar e operar o SGSI)

Implementar e operar a política, controles, processos e procedimentos do SGSI

Check (checar) (monitorar e analisar

criticamente o SGSI)

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

 

Act (agir) (manter e melhorar o SGSI)

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a

melhoria contínua do SGSI.

Norma ISO 17799 e 27001 - Q20


Na NBR ISO/IEC 17799, os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem: 

I. Proteção de dados e privacidade de informações pessoais. 

II. Salvaguarda de registros organizacionais. 

III. Documento da política de segurança da informação. 

Está INCORRETO o que se afirma em 
  •  a) I.
  •  b) II.
  •  c) III.
  •  d) I e III.
  •  e) I, II e III.

Os controles considerados essenciais são:

- proteção de dados e privacidade de informações pessoais;

- proteção de registros organizacionais;

- direitos de propriedade intelectual.

Norma ISO 17799 e 27001 - Q19


De acordo com a norma ISO 17799, assinale a alternativa que descreve corretamente um fator crítico de sucesso para a implantação da segurança da informação dentro de uma organização: 
  •  a) Análise/avaliação e gestão de risco, por parte dos diretores da organização, para avaliar os pontos de falha no cumprimento das políticas de segurança da informação e propor melhorias nos processos organizacionais de gestão de incidentes de segurança da informação.
  •  b) Comprometimento e apoio visível dos funcionários da organização, engajados na determinação e no cumprimento das políticas de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio.
  •  c) Prover mecanismos para alocação emergencial de recursos financeiros para as atividades de combate a incidentes de segurança da informação através da contratação de auditoria especializada.
  •  d) Divulgação eficiente da segurança da informação, incluindo a distribuição de diretrizes e normas sobre a política de segurança da informação, para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização.
---------------------------------------

Fatores críticos de sucesso:



a)    política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio;

b)    uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional;

c)    comprometimento e apoio visível de todos os níveis gerenciais

d)    um bom entendimento dos requisitos de segurança da informação, da análise/verificação de riscos e da gestão de riscos;

e)    divulgação eficiente da segurança da informação para todos os gerentes, funcionários,  e outras partes envolvidas para se alcançar a conscientização;

f)     distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas

g)    provisão de recursos financeiros para as atividades da gestão de segurança da informação

h)    provisão da conscientização, treinamento e educação adequados

i)      estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação

j)     implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria

Norma ISO 17799 e 27001 - Q18


Algumas normas definem aspectos que devem ser levados em consideração ao elaborar políticas de segurança. A versão brasileira da norma para construção de políticas de seguranca é a
  •  a) NBR ISO/IEC 25000.
  •  b) NBR ISO/IEC 14598.
  •  c) NBR ISO/IEC 9126.
  •  d) NBR ISO/IEC 17799.

NBR ISO/IEC 17799: Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação.

Para esclarecer que esta norma, NBR ISO/IEC 17799, a partir de 2007  foi incorporada ao padrão ISO/IEC 27002.

Norma ISO 17799 e 27001 - Q17


Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.

Nas referidas normas, é prevista a implementação de controles contra códigos maliciosos, mas ainda não há previsão acerca de controle contra códigos móveis.
  •  Certo       Errado

Trecho da 27002:

10.4.2 Controles contra códigos móveis


Controle


Onde o uso de códigos móveis é autorizado, convém que a configuração garanta que o código móvel
autorizado opere de acordo com uma política de segurança da informação claramente definida e códigos móveis não autorizados tenham sua execução impedida. 

Norma ISO 17799 e 27001 - Q16


De acordo com a NBR ISO/IEC 27001, integridade é
  •  a) a propriedade de a informação estar acessível e utilizável sob demanda por uma entidade autorizada.
  •  b) a propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
  •  c) a possível violação da política de segurança da informação ou falha de controles.
  •  d) a propriedade de salvaguarda da exatidão e completeza de ativos.
  •  e) qualquer coisa que tenha valor para a organização.


A define disponibilidade

B define confidencialidade

C define evento

E define ativo. 

De acordo com a NORMA NBR ISO/IEC 27001 ( pág. 03) :

Integridade é a propriedade de salvaguarda da exatidão e completeza de ativos.


Norma ISO 17799 e 27001 - Q15


Segundo a norma ISO/IEC 17799, são ativos de informação: 
  •  a) software básico; ferramentas de desenvolvimento e utilitários; roteadores e switches.
  •  b) software básico; banco de dados e arquivos de dados; mídia magnética (fitas e discos).
  •  c) banco de dados e arquivos de dados; documentação de sistemas; planos de continuidade.
  •  d) procedimentos operacionais; computadores; equipamentos de comunicação de dados.
  •  e) software aplicativo; computadores; roteadores e switches.

7.1.1 Inventário dos ativos

...

Informações adicionais

Existem vários tipos de ativos, incluindo:

a) ativos de informaçãobase de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;

d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

e) pessoas e suas qualificações, habilidades e experiências;

f) intangíveis, tais como a reputação e a imagem da organização.


O ponto chave da questão é o termo "Ativos de Informação". Todas as alternativas, com exceção da C, apresentam ativos físicos, como roteadores, switches, etc, fugindo o conceito de Informação.




Norma ISO 17799 e 27001 - Q14


Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 

I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 

II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 

III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 

IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 

Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em 
  •  a) I e II.
  •  b) I e III.
  •  c) II.
  •  d) II e III.
  •  e) III e IV.

Palavras chaves para auxiliar na resolução dessa questão:



27001: "DEVE...", REQUISITOS.

27002: "CONVÉM...", "PODE SER...", CONTROLES.



I - Fala de CONTROLES que PODEM SER aplicados... ou seja, 27002 - (apesar de parte da 27002 estar dentro da 27001 como anexo)

II - Fala da norma que especifica REQUISITOS... ou seja, 27001

III - Fala da norma que define REQUISITOS... 27001


IV - Já começa com "CONVÉM..." ou seja, 27002

resposta d)

Em outras questões a análise deve ser um pouco mais sutil, pois grande parte da 27002 está explicita na 27001.

Norma ISO 17799 e 27001 - Q13


No contexto do histórico do modelo que abrange as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, é INCORRETO afirmar: 
  •  a) Em 1995, a BS7799 foi aperfeiçoada pela comunidade de TI britânica, dando origem à BS7799:1995 parte 1.
  •  b) Em 1999, a primeira revisão da BS7799 resulta na BS7799:1999 parte 1, que foi proposta como norma ISO, dando origem no ano de 2000, à ISO/IEC 17799:2000.
  •  c) Em 2002 foi lançada a norma BS7799 parte 2.
  •  d) Em 2005, a BS7799-2:2002 transformou-se na ISO/IEC 27001:2005.
  •  e) Em 2007, a ISO/IEC 17799-1:2005 sofreu correções e transformou-se na ISO/IEC 27002, tendo como objetivo a implantação de um SGSI, considerando controles selecionados a partir da ISO/IEC 27001.


Norma ISO 17799 e 27001 - Q12


No que se refere às responsabilidades da direção descritas na norma ISO/IEC 27001:2006, analise: 

I. A direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do Sistema de Gestão da Segurança da Informação mediante a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis. 
II. A organização deve determinar e prover os recursos necessários para assegurar que os procedimentos de segurança da informação apoiem os requisitos de negócio. 
III. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no Sistema de Gestão da Segurança da Informação seja competente para desempenhar as tarefas requeridas, avaliando a eficácia das ações executadas. 
IV. A organização deve determinar e prover os recursos necessários para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão da Segurança da Informação. 

Está correto o que consta em
  •  a) I, II, III e IV.
  •  b) II e III, apenas.
  •  c) I, III e IV, apenas.
  •  d) II e IV, apenas.
  •  e) I, II e III, apenas.

Norma 27001, Cap 5 - Responsabilidades da Direção



5.1 - Comprometimento da direção

A Direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:

f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;



5.2 Gestão de recursos



5.2.1 Provisão de recursos

A organização deve determinar e prover os recursos necessários para:

a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI;

b) assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio;



5.2.2 Treinamento, conscientização e competência

A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas:

c) avaliando a eficácia das ações executadas



Então todas estão certas, letra A.

Norma ISO 17799 e 27001 - Q11


A norma ISO/IEC 27001:2006 trata 
  •  a) da gestão de riscos em sistemas de gestão da segurança da informação.
  •  b) de requisitos de sistema de gestão da segurança da informação, métricas e medidas, e diretrizes para implementação.
  •  c) de requisitos para auditoria e certificação de um sistema de gestão da segurança da informação.
  •  d) das recomendações de controles para segurança da informação da antiga ISO/IEC 17799.
  •  e) do modelo conhecido como Plan-Do-Check-Act (PDCA), que é adotado para estruturar todos os processos do sistema de gerenciamento da segurança da informação.
---------------------------------------

A) Quem trata da gestão de riscos é a 27005
B) Quem fala de métrica, diretrizes e etc são as disciplinas de gestão de TI ( CMMI, Cobit, etc ). A ISO que faça em medição é a 27004, ISO que eu nunca li e não sei se traz essas descrições. Já a ISO 27007 trata sobre diretrizes para auditoria de SGSI ( no que tange a auditorias internas).
C) ISO 27006 é quem trata de requisitos para corpo de auditoria e certificação de SGSI's.
D) A redação ficou um tanto quanto exdrúxula, mas deu a entender que o examinador quis dizer da 27002, que de certa forma consta no Anexo A da 27001. Esta seria a única alternativa, na minha visão, que poderia levar a dúvida, mas diante da alternativa E, esta se torna a "menos" correta.
E) Alternativa "mais" correta. Aliás, qdo se fala em PDCA, é a única norma da família 27000 que faz uso do PDCA. PS: ISO 27002 também faz uso do PDCA porém só na parte 2, ou seja, não usa na sua totalidade. O mesmo acontece na 15999

Norma ISO 17799 e 27001 - Q10


Ao escrever e implementar uma política se segurança da informação, a organização cria mecanismos para orientar o comportamento das pessoas, o que se dará pela imposição de restrições e pela determinação de condutas obrigatórias. Apesar da melhor das intenções, os direitos das pessoas, de outras organizações e mesmo do Estado, poderão ser infringidos inadvertidamente. Ao se definir uma política de segurança da informação, no que diz respeito à legislação, é INCORRETO afirmar: 
  •  a) O uso de criptografia, quer seja para o armazenamento quer para a transferência de informação, deve estar de acordo com as leis do país, pois pode haver restrições quanto à exportação ou importação de determinados algoritmos criptográficos.
  •  b) A organização deve empenhar esforços no sentido de se manter um inventário de seus ativos de informação, sobretudo de obras protegidas pelo direito de propriedade intelectual.
  •  c) A política de segurança da informação deve evidenciar a posição contrária da empresa a qualquer violação de propriedade intelectual.
  •  d) Deve-se identificar todas as leis, normas, estatutos, regulamentos e até mesmo recomendações que se aplicam ao negócio.
  •  e) Deve-se proteger as informações dos colaboradores, fornecedores e clientes, que não podem ser cedidas em hipótese alguma.

Item 15.1.4 da ISO 27002: Proteção de dados e privacidade de informações pessoais

"Convém que a privacidade e a proteção de dados sejam asseguradas conforme exigido nas legislações, regulamentações e, se aplicável, nas cláusulas contratuais pertinentes."

Está errado em dizer: "em hipótese alguma"

Norma ISO 17799 e 27001 - Q9


No âmbito do Sistema de Gestão de Segurança da Informação - SGSI, o procedimento: Monitorar e analisar criticamente o SGSI, recomenda: 

I. Realizar análises críticas regulares da eficácia do SGSI independente dos resultados de auditorias de segurança da informação. 

II. Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos. 

III. Conduzir auditorias internas do SGSI a intervalos planejados. 

Está INCORRETO o que consta APENAS em 
  •  a) I.
  •  b) II.
  •  c) III.
  •  d) I e II.
  •  e) II e III.

I - ERRADO



Realizar análises críticas regulares da eficácia do SGSI levando em consideração:

- os resultados de auditorias de segurança da informação; 

- incidentes de segurança da informação;

- resultados da eficácia das medições;

- sugestões e realimentação de todas as partes interessadas.