Analise as seguintes afrmativas sobre gestão de segurança da informação:
I. A lei Sarbanes-Oxley visa garantir a transparência na gestão fnanceira das organizações e a credibilidade de suas informações.
II. A norma ISO/IEC 27001 foi elaborada para prover um modelo de sistema de gestão de segurança da informação (SGSI) e também para avaliar a conformidade deste pelas partes interessadas internas e externas.
III. A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um sistema de gestão de segurança da informação (SGSI).
I. A lei Sarbanes-Oxley visa garantir a transparência na gestão fnanceira das organizações e a credibilidade de suas informações.
II. A norma ISO/IEC 27001 foi elaborada para prover um modelo de sistema de gestão de segurança da informação (SGSI) e também para avaliar a conformidade deste pelas partes interessadas internas e externas.
III. A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um sistema de gestão de segurança da informação (SGSI).
Assinale a alternativa VERDADEIRA:
- a) Apenas as afrmativas I e II estão corretas.
- b) Apenas as afrmativas II e III estão corretas.
- c) Apenas as afrmativas I e III estão corretas.
- d) Todas as afrmativas estão corretas.
A ISO 27001 especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negócio globais da ogranização. Especifica requisitos para a implementação de controles de segurança customizados para as necessidades individuais de organizações ou partes.
A ISO 27002 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.
Destarte, pode se afirmar que o comentário anterior é impreciso, ou mesmo equivocado, ao dizer que o objetivo de uma é ser usado em conjunto com a outra.
A ligação entre as duas normas é feita a partir do item 4.2.1 Estabelecer o SGSI, mais precisamente nas alíneas f e g.
4.2.1 f) Identificar e avaliar as opções para o tratamento de riscos
1) Aplicar os controles apropriados
4.2.1 g) Selecionar objetivos de controle e controles para o tratamento de riscos
Há que se ressaltar que os controles não são mandatórios, nem exaustivos. A ideia é que sejam um ponto de partida de forma a assegurar que nenhuma opção de controle importante seja negligenciada. No entanto, tais controles são aqueles comumente considerados relevantes para as organizações.
A ISO 27002 estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.
Destarte, pode se afirmar que o comentário anterior é impreciso, ou mesmo equivocado, ao dizer que o objetivo de uma é ser usado em conjunto com a outra.
A ligação entre as duas normas é feita a partir do item 4.2.1 Estabelecer o SGSI, mais precisamente nas alíneas f e g.
4.2.1 f) Identificar e avaliar as opções para o tratamento de riscos
1) Aplicar os controles apropriados
4.2.1 g) Selecionar objetivos de controle e controles para o tratamento de riscos
Há que se ressaltar que os controles não são mandatórios, nem exaustivos. A ideia é que sejam um ponto de partida de forma a assegurar que nenhuma opção de controle importante seja negligenciada. No entanto, tais controles são aqueles comumente considerados relevantes para as organizações.
Nenhum comentário:
Postar um comentário