Pesquisar este blog

segunda-feira, 21 de maio de 2012

Norma ISO 17799 e 27001 - Q14


Em relação às normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, considere: 

I. Cada categoria principal de segurança da informação contém um objetivo de controle que define o que deve ser alcançado e um (ou mais) controle que pode ser aplicado para se alcançar o objetivo do controle. 

II. Especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. 

III. Os requisitos definidos nessa norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. Qualquer exclusão de controles considerados necessários para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. 

IV. Convém que a análise/avaliação de riscos de segurança da informação tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as análises/avaliações de riscos em outras áreas, se necessário. 

Associadas à norma NBR ISO/IEC 27001, está correto o que consta APENAS em 
  •  a) I e II.
  •  b) I e III.
  •  c) II.
  •  d) II e III.
  •  e) III e IV.

Palavras chaves para auxiliar na resolução dessa questão:



27001: "DEVE...", REQUISITOS.

27002: "CONVÉM...", "PODE SER...", CONTROLES.



I - Fala de CONTROLES que PODEM SER aplicados... ou seja, 27002 - (apesar de parte da 27002 estar dentro da 27001 como anexo)

II - Fala da norma que especifica REQUISITOS... ou seja, 27001

III - Fala da norma que define REQUISITOS... 27001


IV - Já começa com "CONVÉM..." ou seja, 27002

resposta d)

Em outras questões a análise deve ser um pouco mais sutil, pois grande parte da 27002 está explicita na 27001.

Nenhum comentário:

Postar um comentário