SlideShare uma empresa Scribd logo
Exercícios de Gestão da Segurança da Informação –
ISO 27001, 27002 e 27005
Também: ISO 27003 e 27004
Módulo 01 : Exercícios CESPE (questões 01 a 50)
Aula 04
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Exercícios comentados
Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 04
Curso disponível em: http://www.provasdeti.com.br/por-
professor/a-m/fernando-palma/gsicespex1-para-concursos.html
Questão 14
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é
necessário o estabelecimento de um plano de gestão de
continuidade do negócio; entretanto, os testes e as
atualizações desse plano são desnecessários.
Certo Errado
Questão 14 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é
necessário o estabelecimento de um plano de gestão de
continuidade do negócio; entretanto, os testes e as
atualizações desse plano são desnecessários.
Certo Errado
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
Questão 14 - comentários
“Em sistemas de gestão de segurança da informação, é necessário o
estabelecimento de um plano de gestão de continuidade do negócio; entretanto,
os testes e as atualizações desse plano são desnecessários. “– Errado
14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança
da informação
14.1.5. Testes, manutenção e reavaliação dos planos de
Controle - Convém que os planos de continuidade do negócio sejam
testados e atualizados regularmente, de forma a assegurar sua permanente
atualização e efetividade.
Diretrizes - Convém que os testes do plano de continuidade do negócio
assegurem que todos os membros da equipe de recuperação e outras
pessoas relevantes estejam conscientes dos planos e de suas
responsabilidades para a continuidade do negócio e a segurança da
informação, e conheçam as suas atividades quando um plano for acionado.
Questão 15
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
No processo de estabelecimento de um sistema de gestão
de segurança da informação, deve ser definido o escopo,
além de serem analisados e avaliados os riscos.
Certo Errado
Questão 15 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
No processo de estabelecimento de um sistema de gestão
de segurança da informação, deve ser definido o escopo,
além de serem analisados e avaliados os riscos.
Certo Errado
Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
4.2.2 Implementar e operar o SGSI
4.2.3 Monitorar e analisar criticamente o SGSI
4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação
4.3.1 Geral
4.3.2 Controle de documentos
4.3.3 Controle de registros
Questão 15 - comentários
“No processo de estabelecimento de um sistema de gestão de segurança da
informação, deve ser definido o escopo, além de serem analisados e avaliados os
riscos. “– Certo
4.2.1 Estabelecer o SGSI
“A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das
características do negócio, a organização, sua
localização, ativos e tecnologia, incluindo detalhes e justificativas
para quaisquer exclusões do escopo .
(...)
e) Analisar e avaliar os riscos.
(...)
j) Preparar uma Declaração de Aplicabilidade.”
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar
Complementar - Informática
O sistema de gestão de segurança da informação definido de
acordo com a norma ISO/IEC 27002 adota o modelo plan-do-
check-act, que visa, entre outros objetivos, à melhoria contínua
e à análise crítica do desempenho e da eficácia do sistema de
gestão de segurança da informação.
Certo Errado
Questão 16
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar
Complementar - Informática
O sistema de gestão de segurança da informação definido de
acordo com a norma ISO/IEC 27002 adota o modelo plan-do-
check-act, que visa, entrà melhoria contínua e à análise crítica do
desempenho e da ee outros objetivos, ficácia do sistema de
gestão de segurança da informação.
Certo Errado
Questão 16 - gabarito
Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
Norma ISO 27001
Questão 16 - comentários
“O sistema de gestão de segurança da informação definido de acordo com a
norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros
objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia
do sistema de gestão de segurança da informação.” Errado.
0.2 Abordagem de processo
“(...) A abordagem de processo para a gestão da segurança da
informação apresentada nesta Norma encoraja que seus usuários
enfatizem a importância de: (...)
c) monitoração e análise crítica do desempenho e eficácia do SGSI;
d) melhoria contínua baseada em medições objetivas.
(...) Esta Norma adota o modelo conhecido como "Plan-Do-Check-
Act” (PDCA), que é aplicado para estruturar todos
os processos do SGSI. (...)”
Norma ISO 27001
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de
Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para
manutenção e reavaliação dos planos de continuidade do
negócio, deve haver testes de interrupção e recuperação dos
serviços, em que se identifiquem informações relevantes que
precisam ser atualizadas. Entre essas informações, por serem
desnecessárias, não constam nomes, endereços e telefones de
participantes e estratégias de negócio.
Certo Errado
Questão 17
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para
manutenção e reavaliação dos planos de continuidade do negócio,
deve haver testes de interrupção e recuperação dos serviços, em
que se identifiquem informações relevantes que precisam ser
atualizadas. Entre essas informações, por serem desnecessárias, não
constam nomes, endereços e telefones de participantes e
estratégias de negócio.
Certo Errado
Questão 17 - gabarito
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
Questão 17 - comentários
“Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e
reavaliação dos planos de continuidade do negócio, deve haver testes de
interrupção e recuperação dos serviços, em que se identifiquem informações
relevantes que precisam ser atualizadas. Entre essas informações, por serem
desnecessárias, não constam nomes, endereços e telefones de participantes e
estratégias de negócio. ” Errado.
14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos
negócios
“Diretrizes – (...) Os exemplos de mudanças onde convém que a
atualização dos planos de continuidade do negócio seja considerada são a
aquisição de novos equipamentos, atualização de sistemas e mudanças de:
a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio;
d) localização, instalações e recursos; e) legislação: f) prestadores de
serviços. fornecedores e clientes-chave; g) processos (inclusões e
exclusões); h) risco (operacional e financeiro). (...) "
Prova: CESPE - 2013 - TCE-RO - Analista de Informática
Com relação às políticas de segurança da informação e
à gerência de riscos, julgue os itens a seguir.
A política de segurança da informação deverá ser
analisada criticamente em intervalos planejados,
incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades.
Certo Errado
Questão 18
Prova: CESPE - 2013 - TCE-RO - Analista de Informática
Com relação às políticas de segurança da informação e à
gerência de riscos, julgue os itens a seguir.
A política de segurança da informação deverá ser
analisada criticamente em intervalos planejados,
incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades.
Certo Errado
Questão 18 – gabarito
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
Questão 18 - comentários
“A política de segurança da informação deverá ser analisada criticamente em
intervalos planejados, incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades. ” Certo.
5.1.2. Análise crítica da política de Segurança da Informação “
Controle – “Convém que a política de segurança da informação seja
analisada criticamente a intervalos planejados ou quando mudanças
significativas ocorrerem, para assegurar a sua contínua pertinência,
adequação e eficácia.”
Diretrizes – “Convém que as entradas para análise crítica pela direção
incluam informações sobre:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes (...)
g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
Prova: CESPE - 2013 - CNJ - Técnico Judiciário -
Programação de Sistemas
A proteção aos recursos computacionais inclui desde
aplicativos e arquivos de dados até utilitários e o
próprio sistema operacional.
Certo Errado
Questão 19
Prova: CESPE - 2013 - CNJ - Técnico Judiciário -
Programação de Sistemas
A proteção aos recursos computacionais inclui desde
aplicativos e arquivos de dados até utilitários e o
próprio sistema operacional.
Certo Errado
Questão 19 - gabarito
Questão 19 - comentários
“A proteção aos recursos computacionais inclui desde aplicativos e arquivos de
dados até utilitários e o próprio sistema operacional.” - Certo.
2. Controle de acesso lógico
2.3 Que recursos devem ser protegidos?
“A proteção aos recursos computacionais
inclui desde aplicativos e arquivos de dados até
utilitários e o próprio sistema operacional. Abaixo
serão apresentados os motivos pelos quais esses
recursos devem ser protegidos.”
Boas Práticas em Segurança da Informação 4ª edição - TCU
Exercícios comentados
Fim da aula 04
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Módulo 01 : Exercícios CESPE (questões 01 a 50)

Mais conteúdo relacionado

Mais procurados

Arquitetura de TI, Infraestrutura de TI e Processos de Negócio
Arquitetura de TI, Infraestrutura de TI e Processos de NegócioArquitetura de TI, Infraestrutura de TI e Processos de Negócio
Arquitetura de TI, Infraestrutura de TI e Processos de Negócio
Mauricio Uriona Maldonado PhD
 
Aula 2 - Processos de Software
Aula 2 - Processos de SoftwareAula 2 - Processos de Software
Aula 2 - Processos de Software
Rudson Kiyoshi Souza Carvalho
 
Banco de questões qualidade de software
Banco de questões qualidade de softwareBanco de questões qualidade de software
Banco de questões qualidade de software
Bruno Nascimento
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Efrain Saavedra
 
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Sustentare Escola de Negócios
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
Jardiel Bastos
 
Gestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - ApresentaçãoGestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - Apresentação
Mauricio Uriona Maldonado PhD
 
ISO/IEC 20 000
ISO/IEC 20 000ISO/IEC 20 000
ISO/IEC 20 000
Bruno Ferreira
 
Aula 7 - Modelos de Ciclo de Vida.pptx
Aula 7 - Modelos de Ciclo de Vida.pptxAula 7 - Modelos de Ciclo de Vida.pptx
Aula 7 - Modelos de Ciclo de Vida.pptx
ALEXANDRELISBADASILV
 
Tese sobre ftir
Tese sobre ftirTese sobre ftir
Tese sobre ftir
mauriciolcar
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
Fernando Palma
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
imsp2000
 
Exercicio Subrede
Exercicio SubredeExercicio Subrede
Exercicio Subrede
Brandon Novitzk
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
Carlos Henrique Martins da Silva
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
Adriano Martins Antonio
 
Engenharia de requisitos
Engenharia de requisitosEngenharia de requisitos
Engenharia de requisitos
Mailson Queiroz
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
Clausia Antoneli
 
GPA - Assessoria & Consultoria em SSMA
GPA - Assessoria & Consultoria em SSMAGPA - Assessoria & Consultoria em SSMA
GPA - Assessoria & Consultoria em SSMA
GPA - Assessoria e Consultoria em SSMA
 

Mais procurados (20)

Arquitetura de TI, Infraestrutura de TI e Processos de Negócio
Arquitetura de TI, Infraestrutura de TI e Processos de NegócioArquitetura de TI, Infraestrutura de TI e Processos de Negócio
Arquitetura de TI, Infraestrutura de TI e Processos de Negócio
 
Aula 2 - Processos de Software
Aula 2 - Processos de SoftwareAula 2 - Processos de Software
Aula 2 - Processos de Software
 
Banco de questões qualidade de software
Banco de questões qualidade de softwareBanco de questões qualidade de software
Banco de questões qualidade de software
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
Maturidade e Implantação do CobIT® - Prof. Maurílio Benevento
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
Trabalho iso20000
Trabalho iso20000Trabalho iso20000
Trabalho iso20000
 
Gestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - ApresentaçãoGestão Estratégica da TI - Apresentação
Gestão Estratégica da TI - Apresentação
 
ISO/IEC 20 000
ISO/IEC 20 000ISO/IEC 20 000
ISO/IEC 20 000
 
Aula 7 - Modelos de Ciclo de Vida.pptx
Aula 7 - Modelos de Ciclo de Vida.pptxAula 7 - Modelos de Ciclo de Vida.pptx
Aula 7 - Modelos de Ciclo de Vida.pptx
 
Tese sobre ftir
Tese sobre ftirTese sobre ftir
Tese sobre ftir
 
Exemplo de política de segurança
Exemplo de política de segurançaExemplo de política de segurança
Exemplo de política de segurança
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Exercicio Subrede
Exercicio SubredeExercicio Subrede
Exercicio Subrede
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Engenharia de requisitos
Engenharia de requisitosEngenharia de requisitos
Engenharia de requisitos
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
GPA - Assessoria & Consultoria em SSMA
GPA - Assessoria & Consultoria em SSMAGPA - Assessoria & Consultoria em SSMA
GPA - Assessoria & Consultoria em SSMA
 

Destaque

Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
Fernando Palma
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
Juliana Oliveira, ITIL
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
Fernando Palma
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
Fernando Palma
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
jcfarit
 
Certbr pragas
Certbr pragasCertbr pragas
Certbr pragas
Campus Party Brasil
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Giovani Sant'Anna
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Rodrigodelimabispo
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Cláudio Dodt
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades Virtuais
Rodrigo Mesquita
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
jcfarit
 
Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
Assespro Nacional
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
Diego Souza
 
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Ricardo Luis dos Santos
 
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Ricardo Luis dos Santos
 
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Ricardo Luis dos Santos
 

Destaque (20)

Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Certbr pragas
Certbr pragasCertbr pragas
Certbr pragas
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades Virtuais
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
 
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
 
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
 

Semelhante a Gestão de segurança da informação para concursos-questões CESPE 04

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
Amanda Luz
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
Vanessa Lins
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
Catia Marques
 
curso Iso 9000
curso Iso 9000curso Iso 9000
ISO9001
ISO9001ISO9001
ISO 27001
ISO 27001ISO 27001
ISO 27001
jcfarit
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
Osanam Giordane da Costa Junior
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
Augusto Seixas
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
Sandro Servino
 
Ferramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de InformaçãoFerramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de Informação
Strongstep - Innovation in software quality
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008
Rogério Souza
 
Aula SGA / SGQ / SGI
Aula   SGA / SGQ / SGI Aula   SGA / SGQ / SGI
Aula SGA / SGQ / SGI
fabiofm
 
Governança ti tcu - cobit
Governança ti   tcu - cobitGovernança ti   tcu - cobit
Governança ti tcu - cobit
Gustavo Loureiro
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
Angélica Mancini
 
Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504
Ricardo Zalla
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Paulo Garcia
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
luanrjesus
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
jcfarit
 
Sistemas de Gestão da Qualidade
Sistemas de Gestão da QualidadeSistemas de Gestão da Qualidade
Sistemas de Gestão da Qualidade
Giulianno Sousa
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 

Semelhante a Gestão de segurança da informação para concursos-questões CESPE 04 (20)

NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
curso Iso 9000
curso Iso 9000curso Iso 9000
curso Iso 9000
 
ISO9001
ISO9001ISO9001
ISO9001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 
Ferramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de InformaçãoFerramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de Informação
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008
 
Aula SGA / SGQ / SGI
Aula   SGA / SGQ / SGI Aula   SGA / SGQ / SGI
Aula SGA / SGQ / SGI
 
Governança ti tcu - cobit
Governança ti   tcu - cobitGovernança ti   tcu - cobit
Governança ti tcu - cobit
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Sistemas de Gestão da Qualidade
Sistemas de Gestão da QualidadeSistemas de Gestão da Qualidade
Sistemas de Gestão da Qualidade
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 

Mais de Fernando Palma

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
Fernando Palma
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
Fernando Palma
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
Fernando Palma
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
Fernando Palma
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
Fernando Palma
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
Fernando Palma
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
Fernando Palma
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
Fernando Palma
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
Fernando Palma
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
Fernando Palma
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
Fernando Palma
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
Fernando Palma
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
Fernando Palma
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
Fernando Palma
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
Fernando Palma
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
Fernando Palma
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
Fernando Palma
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
Fernando Palma
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
Fernando Palma
 

Mais de Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 

Gestão de segurança da informação para concursos-questões CESPE 04

  • 1. Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005 Também: ISO 27003 e 27004 Módulo 01 : Exercícios CESPE (questões 01 a 50) Aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Exercícios comentados
  • 2. Sobre este material Material das aulas de amostra do Módulo 01 – Exercícios CESPE Aula 04 Curso disponível em: http://www.provasdeti.com.br/por- professor/a-m/fernando-palma/gsicespex1-para-concursos.html
  • 3. Questão 14 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  • 4. Questão 14 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  • 5. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 6. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  • 7. Questão 14 - comentários “Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. “– Errado 14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação 14.1.5. Testes, manutenção e reavaliação dos planos de Controle - Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. Diretrizes - Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado.
  • 8. Questão 15 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  • 9. Questão 15 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  • 10. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  • 11. 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI 4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI 4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
  • 12. Questão 15 - comentários “No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. “– Certo 4.2.1 Estabelecer o SGSI “A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo . (...) e) Analisar e avaliar os riscos. (...) j) Preparar uma Declaração de Aplicabilidade.”
  • 13. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16
  • 14. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entrà melhoria contínua e à análise crítica do desempenho e da ee outros objetivos, ficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16 - gabarito
  • 15. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  • 16. 0. Introdução 0.1 Geral 0.2 Abordagem de processo 0.3 Compatibilidade com outros sistemas de gestão 1. Objetivo 1.1 Geral 1.2 Aplicação Norma ISO 27001
  • 17. Questão 16 - comentários “O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.” Errado. 0.2 Abordagem de processo “(...) A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: (...) c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas. (...) Esta Norma adota o modelo conhecido como "Plan-Do-Check- Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. (...)” Norma ISO 27001
  • 18. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17
  • 19. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17 - gabarito
  • 20. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 21. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  • 22. Questão 17 - comentários “Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ” Errado. 14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos negócios “Diretrizes – (...) Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos; e) legislação: f) prestadores de serviços. fornecedores e clientes-chave; g) processos (inclusões e exclusões); h) risco (operacional e financeiro). (...) "
  • 23. Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18
  • 24. Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18 – gabarito
  • 25. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 26. Questão 18 - comentários “A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. ” Certo. 5.1.2. Análise crítica da política de Segurança da Informação “ Controle – “Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.” Diretrizes – “Convém que as entradas para análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes (...) g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
  • 27. Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19
  • 28. Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19 - gabarito
  • 29.
  • 30. Questão 19 - comentários “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.” - Certo. 2. Controle de acesso lógico 2.3 Que recursos devem ser protegidos? “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Abaixo serão apresentados os motivos pelos quais esses recursos devem ser protegidos.” Boas Práticas em Segurança da Informação 4ª edição - TCU
  • 31. Exercícios comentados Fim da aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Módulo 01 : Exercícios CESPE (questões 01 a 50)

Notas do Editor

  1. Anotações