A norma ISO/IEC 27001:2006 trata
- a) da gestão de riscos em sistemas de gestão da segurança da informação.
- b) de requisitos de sistema de gestão da segurança da informação, métricas e medidas, e diretrizes para implementação.
- c) de requisitos para auditoria e certificação de um sistema de gestão da segurança da informação.
- d) das recomendações de controles para segurança da informação da antiga ISO/IEC 17799.
- e) do modelo conhecido como Plan-Do-Check-Act (PDCA), que é adotado para estruturar todos os processos do sistema de gerenciamento da segurança da informação.
---------------------------------------
A) Quem trata da gestão de riscos é a 27005
B) Quem fala de métrica, diretrizes e etc são as disciplinas de gestão de TI ( CMMI, Cobit, etc ). A ISO que faça em medição é a 27004, ISO que eu nunca li e não sei se traz essas descrições. Já a ISO 27007 trata sobre diretrizes para auditoria de SGSI ( no que tange a auditorias internas).
C) ISO 27006 é quem trata de requisitos para corpo de auditoria e certificação de SGSI's.
D) A redação ficou um tanto quanto exdrúxula, mas deu a entender que o examinador quis dizer da 27002, que de certa forma consta no Anexo A da 27001. Esta seria a única alternativa, na minha visão, que poderia levar a dúvida, mas diante da alternativa E, esta se torna a "menos" correta.
E) Alternativa "mais" correta. Aliás, qdo se fala em PDCA, é a única norma da família 27000 que faz uso do PDCA. PS: ISO 27002 também faz uso do PDCA porém só na parte 2, ou seja, não usa na sua totalidade. O mesmo acontece na 15999
Nenhum comentário:
Postar um comentário