Post on 20-Oct-2021
Gestão de Segurança da Informação(ISO 27001) em Questões
Prof. Walter Cunha
Professor
• Natural: Fortaleza-CE
• Cargo: AFFC-CGU TI (2009)
• Graduação: Engenharia Eletrônica ITA 2000
• Pós: Ger. Projetos FGV 2007
• Emerging Leaders: Harvard Kennedy School Nov/2018
Cursos Gravados• Gestão de Riscos de Segurança da Informação (27.005) (CÓDIGO: 78195)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5465
• Gestão de Segurança da Informação (27.002) (CÓDIGO: 78662)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5466
• Gestão de Riscos Corporativos (ISO 31.000) para Concursos – Professor (CÓDIGO: 78192)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5470
Cursos Gravados• Tecnologias de Datacenter para Concursos (CÓDIGO: 78661)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5467
• Auditoria de TI para Concursos (CÓDIGO: 78194)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5468
• Gestão Organizacional para Concursos (TI) (CÓDIGO: 78193)
https://afiliados.grancursosonline.com.br/idevaffiliate.php?id=161&url=5469
Cursos A GRAVAR• Gestão da Continuidade de Negócios (15999/22313) ok
• Governança Corporativa de TI (38500) ok
• Sistemas de gestão da segurança da informação (27001)
• Legislação Aplicadas à Gestão de Segurança da Informação
REFERÊNCIAS• ABTN NBR 27001
Questão 1 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
Questão 1 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001 devem ser realizadas periodicamente auditorias externas no sistema de gerenciamento de segurança da informação.
ERRADA
Questão 2 – (FCC/TRT-4 2015)Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:
A Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público.
B Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco.
C Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado.
D Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles.
E Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI.
Questão 2 – (FCC/TRT-4 2015)Considere que um Analista do Tribunal Regional do Trabalho ficou com a tarefa de definir um processo de tratamento dos riscos de segurança da informação de acordo com a Norma NBR ISO/IEC 27001:2013. Uma ação correta é:
A Não reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação no Tribunal, já que a Norma recomenda que este documento possa ser ajustado pelos stakeholders e seja público.
B Selecionar, de forma apropriada, as opções de tratamento dos riscos de segurança da informação, levando em consideração os resultados da avaliação do risco.
C Determinar quais os controles e objetivos de controle definidos pela Norma serão utilizados, sem a inclusão de controles adicionais não listados, como recomendado.
D Elaborar, cautelosamente, uma declaração de aplicabilidade que contenha os controles necessários e sua justificativa, já que a Norma recomenda que não haja exclusão de controles.
E Preparar um plano para tratamento dos riscos residuais de segurança da informação, obtendo a aprovação da alta gerência e dos técnicos de TI.
Questão 3 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001, as informações publicamente disponíveis no sítio do MEC requerem mecanismos de proteção para sua visualização e modificação.
Questão 3 – (CESPE/MEC 2015)De acordo com a norma ISO/IEC 27001, as informações publicamente disponíveis no sítio do MEC requerem mecanismos de proteção para sua visualização e modificação.
ERRADA
Questão 4 – (CESPE/TCE-RN 2015)De acordo com a norma ISO 27001:2006, as opções para tratamento de risco devem incluir: aplicação de controles apropriados; aceitação dos riscos consciente e objetivamente, desde que satisfaçam claramente as políticas da organização e os critérios de aceitação dos riscos; e transferência dos riscos associados ao negócio a outras partes, por exemplo, a seguradoras e fornecedores.
Questão 4 – (CESPE/TCE-RN 2015)De acordo com a norma ISO 27001:2006, as opções para tratamento de risco devem incluir: aplicação de controles apropriados; aceitação dos riscos consciente e objetivamente, desde que satisfaçam claramente as políticas da organização e os critérios de aceitação dos riscos; e transferência dos riscos associados ao negócio a outras partes, por exemplo, a seguradoras e fornecedores.
CERTA
Questão 5 – (FCC/TRT-23 2015)Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser
A independentes da política de segurança da informação.
B mantidos em segredo pela alta direção da organização.
C fixos e imutáveis para possibilitar a avaliação de desempenho.
D distintos ao plano de negócio da organização.
E elaborados considerando os tratamentos de riscos.
Questão 5 – (FCC/TRT-23 2015)Um Analista do TRT23 deve estabelecer o sistema de gestão de segurança do Tribunal baseado na norma ABNT NBR ISO/IEC 27001:2013. Na fase de planejamento, os objetivos de segurança devem ser
A independentes da política de segurança da informação.
B mantidos em segredo pela alta direção da organização.
C fixos e imutáveis para possibilitar a avaliação de desempenho.
D distintos ao plano de negócio da organização.
E elaborados considerando os tratamentos de riscos.
Questão 6 – (CESPE/TJDF-23 2015)Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades de controle.
Questão 6 – (CESPE/TJDF-23 2015)Embora destituída da norma ISO/IEC 27001, a condução de auditorias internas deve ser realizada no sistema de gestão da segurança da informação (SGSI) a fim de conferência quanto à qualidade da execução das atividades de controle.
ERRADA
Questão 7 – (CESPE/PCPE 2016)No que se refere à elaboração de sistemas de gerenciamento de segurança da informação, assinale a opção que apresenta um novo controle constante na norma ISO/IEC 27001:2013 em comparação com a norma ISO/IEC 27001:2005.
A estratégia para controle de processos
B ambiente de nuvem segura
C estratégia de entrega de serviço com cadeia de relacionamento no nível de rede
D ambiente de desenvolvimento seguro
E estrutura de governança de TI
Questão 7 – (CESPE/PCPE 2016)No que se refere à elaboração de sistemas de gerenciamento de segurança da informação, assinale a opção que apresenta um novo controle constante na norma ISO/IEC 27001:2013 em comparação com a norma ISO/IEC 27001:2005.
A estratégia para controle de processos
B ambiente de nuvem segura
C estratégia de entrega de serviço com cadeia de relacionamento no nível de rede
D ambiente de desenvolvimento seguro
E estrutura de governança de TI
Questão 8 – (CESPE/TCE-SC 2016)À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação.
Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização
Questão 8 – (CESPE/TCE-SC 2016)À luz das normas ISO/IEC 27001 e 27002, julgue os próximos itens, relativos à segurança da informação.
Ao elaborar, manter, melhorar e implantar um sistema de gestão de segurança da informação, a organização deve considerar as características técnicas de seu negócio, e o SGSI (sistema de gestão de segurança da informação) deve ser documentado dentro do contexto de suas atividades operacionais, sem, contudo, envolver a direção da organização
Questão 9 – (CESPE/TCE-PA 2016)No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013.
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
Questão 9 – (CESPE/TCE-PA 2016)No que se refere a sistemas de gestão da segurança da informação (SGSI), julgue o item a seguir à luz da norma ISO/IEC 27001:2013.
Para reivindicar conformidade com a referida norma, uma organização poderá excluir, sem justificativas formais, requisitos especificados nas seções de análise crítica pela direção e de auditorias internas do SGSI.
Questão 10 – (TJPR/TJPR 2009)De forma geral do que se trata a norma ISO 27001?
A Padrões de banco de dados e da linguagem SQL
B Gestão de segurança da informação
C Protocolos de Rede
D Padrões para a infraestrutura física de redes
Questão 10 – (TJPR/TJPR 2009)De forma geral do que se trata a norma ISO 27001?
A Padrões de banco de dados e da linguagem SQL
B Gestão de segurança da informação
C Protocolos de Rede
D Padrões para a infraestrutura física de redes
Questão 11 – (FGV/SEPOG-RO 2017)A norma NBR ISO/IEC nº 27001:2006 foi preparada para prover um modelo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora um Sistema de Gestão de Segurança da Informação (SGSI). Esta norma adota o modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI. A terceira etapa desse modelo, quando aplicável, deve
A determinar a política e os objetivos do SGSI que são relevantes para a melhoria da segurança da informação.
B estabelecer os processos e procedimentos do SGSI que são relevantes para a gestão de riscos.
C implementar e operar a política e os controles do SGSI.
D medir o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI.
E executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI.
Questão 11 – (FGV/SEPOG-RO 2017)A norma NBR ISO/IEC nº 27001:2006 foi preparada para prover um modelo que estabelece, implementa, opera, monitora, analisa criticamente, mantém e melhora um Sistema de Gestão de Segurança da Informação (SGSI). Esta norma adota o modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI. A terceira etapa desse modelo, quando aplicável, deve
A determinar a política e os objetivos do SGSI que são relevantes para a melhoria da segurança da informação.
B estabelecer os processos e procedimentos do SGSI que são relevantes para a gestão de riscos.
C implementar e operar a política e os controles do SGSI.
D medir o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI.
E executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI.
Questão 12 – (UPENET/UPE 2017)Consiste em uma das atividades previstas na fase de identificação de riscos, relativas à implantação de um sistema de gerenciamento e gestão da segurança da informação, definidas na norma NBR ISO/IEC 27001:2013:A Identificar ações de segurança de acesso dos usuários ao sistema, tais como biometria e política de senhas.B Identificar quais os riscos potenciais para o sistema e quais os responsáveis por tais riscos.C Solicitar dos usuários do sistema um histórico (log) de falhas relativas a suas interações anteriores com sistemas similares.D Bloquear os usuários que exibam histórico de riscos prováveis ao sistema.E Bloquear operações do sistema que exibam histórico de riscos prováveis ao sistema.
Questão 12 – (UPENET/UPE 2017)Consiste em uma das atividades previstas na fase de identificação de riscos, relativas à implantação de um sistema de gerenciamento e gestão da segurança da informação, definidas na norma NBR ISO/IEC 27001:2013:A Identificar ações de segurança de acesso dos usuários ao sistema, tais como biometria e política de senhas.B Identificar quais os riscos potenciais para o sistema e quais os responsáveis por tais riscos.C Solicitar dos usuários do sistema um histórico (log) de falhas relativas a suas interações anteriores com sistemas similares.D Bloquear os usuários que exibam histórico de riscos prováveis ao sistema.E Bloquear operações do sistema que exibam histórico de riscos prováveis ao sistema.
Dúvidas?