Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere:
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em
I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle.
II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.
III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.
IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário.
Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em
- a) I e II.
- b) I e III.
- c) II.
- d) II e III.
- e) III e IV.
Palavras chaves para auxiliar na resolução dessa questão:
27001: "DEVE...", REQUISITOS.
27002: "CONVÉM...", "PODE SER...", CONTROLES.
I - Fala de CONTROLES que PODEM SER aplicados... ou seja, 27002 - (apesar de parte da 27002 estar dentro da 27001 como anexo)
II - Fala da norma que especifica REQUISITOS... ou seja, 27001
III - Fala da norma que define REQUISITOS... 27001
IV - Já começa com "CONVÉM..." ou seja, 27002
resposta d)
27001: "DEVE...", REQUISITOS.
27002: "CONVÉM...", "PODE SER...", CONTROLES.
I - Fala de CONTROLES que PODEM SER aplicados... ou seja, 27002 - (apesar de parte da 27002 estar dentro da 27001 como anexo)
II - Fala da norma que especifica REQUISITOS... ou seja, 27001
III - Fala da norma que define REQUISITOS... 27001
IV - Já começa com "CONVÉM..." ou seja, 27002
resposta d)
Em outras questões a análise deve ser um pouco mais sutil, pois grande parte da 27002 está explicita na 27001.
Nenhum comentário:
Postar um comentário