You are on page 1of 56

Aula 09

Tecnologia da Informao (parte I) p/ Analista de TI do MPOG - Com videoaulas

Professor: Victor Dalton

01624136451 - Luis

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09

AULA 09: Segurana da Informao


SUMRIO

PGINA

1. Norma ISO 27002


2. Norma ISO 27001
3. Gesto de Continuidade de Negcios
Exerccios Comentados
Consideraes Finais
Exerccios
Gabarito

2
12
19
24
43
44
55

Ol pessoal, voltei!
Nessa aula vamos arrematar o assunto Segurana da Informao
abordando as normas ISO 27002 e 27001. Aqui nossa abordagem um pouco
diferente.
Na Internet, voc consegue baixar e estudar as normas. Portanto, nosso
trabalho transmitir o esprito da norma, e mostrar como esse contedo
cobrado em provas, para que voc possa acertar questes.
Observao Importante: Devido no especificao em edital da verso
das ISO 27001 e 27002 (e a ausncia de exerccios das verses mais novas
dessas normas, vamos lanar parte, em aula extra, um PDF com as novidades
das novas verses)

Vamos l?

01624136451

Observao importante: este curso protegido por direitos


autorais (copyright), nos termos da Lei 9.610/98, que altera,
atualiza e consolida a legislao sobre direitos autorais e d
outras providncias.
Grupos de rateio e pirataria so clandestinos, violam a lei e
prejudicam os professores que elaboram os cursos. Valorize o
trabalho de nossa equipe adquirindo os cursos honestamente
atravs do site Estratgia Concursos ;-)

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

1 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
SEGURANA DA INFORMAO

1. NORMA ISO 27002

1.1

Consideraes iniciais

O estudo de Segurana da informao envolve vrias frentes. Uma delas,


que corresponde gesto de poltica de segurana a ser adotada por uma
organizao, para proteger os seus ativos e recuperar-se de um desastre,
norteada pela NORMA ISO/IEC 27002, que um Cdigo de Prtica para a Gesto
da Segurana da Informao.
A ISO/IEC 27002 recebeu a atual numerao em julho de 2007. uma
norma de Segurana da Informao revisada em 2005 pela International
Standards Organization e pela International Electrotechnical Commission,
chamada anteriormente de ISO/IEC 17799. A verso original foi publicada em
2000, que por sua vez era uma cpia fiel do padro britnico BS 7799-1:1999.
A ISO/IEC-17799 tem como objetivos a confidencialidade, integridade e
disponibilidade das informaes, os quais so fatores muito importantes para
a segurana da informao.
Enfim, vamos passar por algumas ideias da norma, procurando destacar os
procedimentos que mais aparecem em prova. Alm disso, esta anlise
despertar o seu senso crtico em relao ao esprito da norma, fazendo que o
seu bom senso possa colaborar para acertar questes sobre o assunto.
01624136451

Vamos l?

1.2

Introduo

A norma ISO 27002 ressalta que a informao um ativo muito valioso


para uma organizao. Diferentemente de outros ativos, ela pode ser impressa,
escrita em papel, armazenada em via eletrnica, ou at mesmo conversada. Isto
posto, ela deve ser protegida com adequao.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

2 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Nesse contexto, a segurana da informao um conjunto de
controles, nos quais se incluem polticas, processos, funes de software e
hardware e estruturas organizacionais, aplicados com o intuito de proteger a
informao dos vrios tipos de ameaas, para garantir a continuidade do
negcio em caso de desastre, maximizar o ROI e as oportunidades de negcio.
Destaque para a trade da segurana da informao:

Segundo a norma:
Confidencialidade: Garantia de que o acesso informao seja obtido
somente por pessoas autorizadas.
Integridade: Salvaguarda da exatido e completeza da informao e dos
mtodos de processamento.
Disponibilidade: Garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio.
01624136451

Para Laureano e Moraes (Segurana Como Estratgia de Gesto da


Informao), as informaes se classificam como pblica, interna, confidencial,
secreta.
Pblica/ostensiva: Informao que pode vir a pblico sem maiores
consequncias danosas ao funcionamento normal da empresa, e cuja integridade
no vital.
Interna/reservada: O acesso livre a este tipo de informao deve ser
evitado, embora as consequncias do uso no autorizado no sejam por demais
srias. Sua integridade importante, mesmo que no seja vital.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

3 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09

Confidencial/sigilosa: Informao restrita aos limites da empresa, cuja


divulgao ou perda pode levar a desequilbrio operacional, e eventualmente, a
perdas financeiras ou de confiabilidade perante o cliente externo.
Secreta: Informao crtica para as atividades da empresa, cuja
integridade deve ser preservada a qualquer custo e cujo acesso deve ser restrito
a um nmero reduzido de pessoas. A segurana desse tipo de informao vital
para a companhia.

1.3

Glossrio

Para uniformizao da linguagem, interessante ter em mente as


definies abaixo, uma vez que os controles recomendados utilizam e repetem
(e muito) os termos abaixo citados. J vi, inclusive, questes de prova em cima
apenas desses entendimentos!
Ativo qualquer elemento que possua valor para a organizao
Controle forma de gerenciar o risco, seja ele uma poltica, diretriz,
procedimento, prtica...
Evento ocorrncia em um sistema, servio ou rede, que indica uma
probabilidade de violao da poltica de Seg Info, ou uma falha de controles, ou
outra coisa, ainda desconhecida
Incidente um evento ou srie de eventos indesejados ou inesperados,
com grande probabilidade de ameaar a Seg Info e comprometer o negcio.
Todo incidente um evento, mas nem todo evento um incidente. Ex: uma
porta indevidamente aberta um evento. Se a porta aberta mostra uma sala
violada, com mesas e gavetas mexidas, temos um incidente.
01624136451

Poltica recomendaes formais da direo da organizao


Recurso de processamento da informao qualquer sistema que
processe informaes, servio ou infraestrutura, incluindo a as instalaes
fsicas nas quais eles esto instalados
Risco a probabilidade de um evento + consequncias
Ameaa causa potencial de um incidente no desejado
Vulnerabilidade fragilidade que pode ser explorada por ameaas

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

4 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
1.4

Riscos

A norma, no que diz respeito a riscos, norteada por duas idias-chave.


Primeiramente, a idia de que o risco deve ser analisado e avaliado, ou seja, a
organizao deve identificar, quantificar e priorizar os riscos com base em
critrios para aceitao dos riscos e dos objetivos relevantes para a organizao.
E, por fim, o tratamento do risco, por meio da aceitao, mitigao,
transferncia ou preveno.

Os modelos de Governana trazem 4 verbos clssicos para o tratamento de


riscos. Quer lidar com os riscos? MATE. Mitigar, aceitar, evitar, e transferir.
Vejamos estes verbos e o seu relacionamento com a norma:
Mitigar: aplicar controles apropriados para reduzir os riscos.
Aceitar: conhecer e objetivamente aceitar os riscos, sabendo que eles
atendem claramente poltica da organizao e aos critrios para a aceitao de
risco.
Transferir: transferir os riscos associados para outras partes, por
exemplo, seguradoras ou fornecedores.
Evitar: evitar riscos, no permitindo aes que poderiam causar a
ocorrncia de riscos.
Mitigar e Evitar talvez sejam aqueles verbos passveis de confuso entre si.
Enquanto mitigar procura minimizar o risco a um nvel aceitvel (como, por
exemplo, colocar firewalls para diminuir o risco de invaso da intranet da
empresa via internet), evitar a eliminao do risco, como a cortar o acesso da
empresa internet. Via de regra, condutas para evitar o risco so extremas.
01624136451

A partir de agora, veremos um resumo das 11 sees de controles de


segurana da informao que, juntas, totalizam 39 categorias principais
de segurana. Cada seo contm um nmero de categorias principais de
segurana da informao e cada categoria principal de segurana da informao
contm:
a) um objetivo de controle que define o que deve ser alcanado; e
b) um ou mais controles que podem ser aplicados para se alcanar o
objetivo do controle.
As descries dos controles esto estruturadas da seguinte forma:

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

5 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Controle
Define qual o controle especfico para atender ao objetivo do controle.
Diretrizes para a implementao
Contm informaes mais detalhadas para apoiar a implementao do
controle e atender ao objetivo de controle. Algumas destas diretrizes podem no
ser adequadas em todos os casos e assim outras formas de implementao do
controle podem ser mais apropriadas.

1.5

Poltica e Organizao da Segurana da Informao

A poltica de segurana da informao diz que:

a direo da organizao deve criar um documento da poltica de


segurana da informao, que deve ser divulgado a todos da
organizao, e a terceiros relevantes (como funcionrios
terceirizados, por exemplo);
o comprometimento com Seg Info deve vir desde o alto escalo da
organizao;
a poltica de segurana deve estar alinhada, naturalmente, com os
objetivos de negcio;
a poltica de segurana deve ser revisada periodicamente, seja em
intervalos planejados, seja diante de alguma mudana importante;
responsabilidades devem ser definidas de maneira clara;
acordos de confidencialidade podem ser criados para a proteo de
ativos confidenciais.

01624136451

1.6

Gesto de ativos

Segundo a ISO 27002, existem vrios tipos de ativos, incluindo:


a) ativos de informao: base de dados e arquivos, contratos e acordos,
documentao de sistema, informaes sobre pesquisa, manuais de usurio,
material de treinamento, procedimentos de suporte ou operao, planos de
continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e
informaes armazenadas;
b) ativos de software:
desenvolvimento e utilitrios;

aplicativos,

sistemas,

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

6 de 55

ferramentas

de

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
c) ativos fsicos: equipamentos computacionais,
comunicao, mdias removveis e outros equipamentos;

equipamentos

de

d) servios: servios de computao e comunicaes, utilidades gerais,


por exemplo aquecimento, iluminao, eletricidade e refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f) intangveis, tais como a reputao e a imagem da organizao.

Esta gesto preocupa-se em manter a proteo dos ativos da organizao


de maneira adequada. Nela,

1.7

Todos os ativos devem ser identificados;


Deve ser criado um inventrio de ativos;
Todo ativo deve ter um proprietrio;
A informao dever receber uma classificao, para receber um
nvel adequado de proteo. Esta classificao dever levar em conta
o valor, requisitos legais, sensibilidade e a criticidade e quaisquer
outros critrios relevantes;
O proprietrio do ativo o responsvel pela manuteno dos
controles sobre os seus ativos. A aplicao dos controles pode ser
delegada, mas o proprietrio sempre ser o responsvel pela
proteo.

RH

A segurana em recursos humanos se preocupa com funcionrios,


fornecedores e terceiros. Para tal,
01624136451

Todos devem ser conscientizados da importncia da Seg Info;


Papis e responsabilidades devem ser atribudos;
Candidatos a emprego devem ser analisados, em especial quando
tratarem com informaes sensveis;
Termos e condies contratuais podem ser estabelecidos;
Processo disciplinar formal pode ser estabelecido para os que
violarem a Seg Info;
Funcionrios que mudarem de local de trabalho ou deixarem a
organizao devem devolver ativos sob sua responsabilidade, bem
como terem seus direitos de acesso revistos ou revogados.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

7 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
1.8

Segurana fsica e do ambiente

A segurana fsica preocupa-se em prevenir acesso fsico no autorizado,


evitando danos e violao s informaes da organizao. Nesse contexto,

1.9

Instalaes de processamento da informao crticas devem estar em


reas seguras, com barreiras e controles de acesso adequados
(paredes, balces de recepo, etc.). Devem possuir proteo fsica
contra acesso no autorizado, interferncias externas e danos;
Proteo compatvel com os riscos que foram identificados;
Registros de entrada e sada de funcionrios;
Terceiros prestando servio em reas sensveis s podem entrar
quando necessrio, somente com autorizao e sendo monitorados;
Direitos de acesso a reas seguras devem ser revistos e atualizados
periodicamente;
Proteo contra incndios, enchentes, terremotos, exploses, etc,
devem ser projetadas e aplicadas;
Equipamentos devem ser protegidos contra ameaas do meio
ambiente e fsicas;

Comunicaes

A preocupao aqui garantir que recursos de processamento da


informao sejam operados corretamente. Assim sendo,

Documentos que descrevem os procedimentos de operao desses


recursos devem ser criados e mantidos atualizados;
Modificaes nos recursos devem ser controladas, considerando
planejamentos, testes e procedimentos de recuperao;
Funes e responsabilidades devem ser segregadas, para evitar
modificaes ou uso indevido;
Terceiros devem ser monitorados e analisados criticamente em seus
servios;
Controles de deteco, preveno e recuperao para malwares
devem ser implantados, bem como a conscientizao dos usurios;
Cpias de segurana das informaes devem ser criadas e testadas
periodicamente, conforme a poltica definida pela organizao;
Cpias de segurana devem ser armazenadas remotamente,
distantes o bastante para no serem afetadas por um desastre no
local principal;
Pode-se utilizar criptografia em cpias cuja confidencialidade seja
importante;
Redes de computadores devem ser gerenciadas e controladas;
01624136451

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

8 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Mecanismos de registro e monitorao podem ser aplicados para
aes relevantes de segurana;
Controles especiais devem ser aplicados em redes wireless;
Mdias removveis devem ser registradas e descartadas de forma
segura e formal, quando no mais necessrias;
Comrcio eletrnico em redes pblicas deve ser protegido de
atividades fraudulentas;
Dentre outros.

1.10 Controle de acessos


O acesso informao na organizao deve ser controlado. Isto posto,

A poltica de controle de acesso deve ser baseada nos requisitos de


acessos dos negcios e segurana da informao;
Basear-se na regra tudo proibido, menos o permitido, e no no
oposto;
Deve existir procedimento formal para registrar e cancelar usurios,
garantindo e revogando acessos em todos os servios e sistemas de
informao;
O nvel de acesso do usurio deve ser adequado ao propsito do
negcio;
O ID de usurio deve ser capaz de assegurar a responsabilidade do
usurio por suas aes. Grupos de Ids s devem existir onde existir
a necessidade para o negcio;
Concesso e uso de privilgios deve ser restrito e controlado;
Concesso de senhas deve ser controlada por processos formais;
Usurio deve assinar declarao quando receber senha,
responsabilizando-se pela confidencialidade da mesma;
Usurios devem seguir boas prticas no uso e seleo de senhas;
Senhas temporrias devem ser modificadas no primeiro acesso;
Senhas devem ser modificadas periodicamente;
Sistema de gerenciamento de senha deve obrigar o usurio a
escolher senhas de qualidade;
Mesa limpa e tela limpa devem ser adotadas para evitar vazamento
de informaes;
O acesso aos servios de rede internos e externos deve ser
controlado;
As redes devem possuir controle de roteamento, por meio de
gateways e proxies, para que as conexes de rede no violem a
poltica de controle de acesso da organizao.
01624136451

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

9 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
1.11 Sistemas de informao
Este item afirma que a segurana deve ser parte dos sistemas de
informao. Nele,

Controles apropriados devem ser implantados, validando dados de


entrada, processamento interno e sada;
As informaes devem ser protegidas por meios criptogrficos;
Acesso aos arquivos de sistema e programas de cdigo-fonte devem
ser controlados;
Cuidados devem ser tomados, para que dados sensveis no sejam
expostos em ambientes de testes de sistemas;
Gerentes responsveis por aplicativos tambm devem ser
responsveis por ambientes de projeto ou suporte.

1) (CESPE ANATEL Analista Infraestrutura de TI 2014) A norma


ISO 27002 recomenda que as chaves criptogrficas usadas para as
assinaturas digitais de documentos eletrnicos sejam idnticas quelas
usadas para a criptografia desses documentos: a padronizao das
chaves garante maior segurana aos documentos.

Errado! Isso viola inclusive o conceito de criptografia assimtrica. O correto


utilizar a chave privada para cifrar a assinatura digital (de modo que a chave
pblica possa decifr-la) e utilizar a chave pblica do destinatrio para cifrar
contedo, de modo que apenas a chave privada do destinatrio possa decifr-la.

1.12 Incidentes

01624136451

A gesto de incidentes preocupa-se com os incidentes de segurana da


informao. Desta forma,

Fragilidades e eventos relativos a sistemas de informao devem ser


informados pelo canal adequado, de modo a receberem o
tratamento adequado em tempo hbil;
Responsabilidades e procedimentos devem ser definidos para o
tratamento de eventos e fragilidades;
Processo de melhoria contnua deve ser aplicado s respostas.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

10 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
1.13 Gesto da continuidade do negcio
A gesto do negcio afirma que as atividades de negcio no podem
parar, diante de falhas ou desastres. Para tal,

Um processo de gesto deve ser desenvolvido para assegurar a


continuidade do negcio;
Os eventos que podem interromper os processos de negcio devem
ser identificados e terem sua probabilidade e impacto estudadas;
Planos de continuidade do negcio devem ser desenvolvidos,
com identificao de procedimentos para a recuperao do desastre,
responsveis por esses procedimentos, teste e atualizao peridica
dos planos. Deve haver gestores especficos para cada plano.

1.14 Conformidade
Conformidade preocupa-se com requisitos legais. Assim sendo,

Deve-se evitar violao de leis criminais, civis, estatutos,


regulamentaes, obrigaes contratuais e de requisitos de Seg Info;
Direitos de propriedade intelectual devem ser respeitados (no
Pirataria!);
Dados devem ser protegidos conforme legislaes relevantes e, se
aplicvel, em clusulas contratuais;
Controles criptogrficos devem ser usado em conformidade com
todas as leis, acordos e regulamentos;
Atividades de auditoria devem ser planejadas, de modo a serem
eficazes sem interromperem processos de negcio.

1.15 Anlise final

01624136451

Pois bem, acabamos de ver, de forma resumida, as principais


recomendaes de segurana da ISO 27002. A norma completa possui 132
pginas, detalhando esses e outros procedimentos importantes.
Entretanto, acredito que voc conseguiu capturar o esprito da norma.
Logo, ao deparar-se com os exerccios, voc ser capaz de enxergar, nas
alternativas, sentenas que fazem (ou no fazem) sentido estar na norma, o que
far que voc consiga acertar questes sobre o assunto. De qualquer forma,
recomendo a visualizao da mesma pelo menos uma vez, para melhor
entendimento.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

11 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
2. NORMA ISO 27001

2.1

Introduo

A norma ISO 27001 foi concebida com o intuito de prover um modelo para
estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gesto de Segurana da Informao (SGSI).
Segundo a referida norma, a adoo de um SGSI deve ser uma deciso
estratgica para uma organizao. A especificao e a implementao do SGSI
deuma organizao so influenciadas pelas suas necessidades e objetivos,
requisitos de segurana, processos empregados e tamanho e estrutura da
organizao.
Ainda, a norma preconiza um conjunto de objetivos de controles e
controles, a serem aplicados pela organizao. essencial que voc baixe a
norma (facilmente encontrada na internet) e leia o Anexo com tais elementos,
pelo menos uma vez.

2.2

Ciclo PDCA (importantssimo!)

A ISO 27001 adota o modelo conhecido como "Plan-Do-Check-Act


(PDCA), que aplicado para estruturar todos os processos do SGSI. No sei
quantas vezes isso j apareceu em provas, e no cansa de continuar
aparecendo. Memorize o modelo a seguir!
01624136451

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

12 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09

Modelo PDCA aplicado aos processos do SGSI.

2) (CESPE SUFRAMA Analista Tecnologia da Informao 2014) A


fim de se alcanar a melhoria contnua na implementao e na operao
do SGSI, o Do (fazer) do PDCA executa aes corretivas e preventivas a
partir dos resultados da auditoria interna do SGSI e da anlise crtica
pela direo ou de outra informao pertinente.

Errado! O Do implementa e opera a poltica, controles, processos e


procedimentos do SGSI. Quem executa aes corretivas e preventivas o Act.

Vamos detalhar um pouco mais as etapas.


01624136451

2.2.1 Estabelecer o SGSI

Nesta etapa (plan), a organizao deve:


a) Definir o escopo e os limites do SGSI nos termos das caractersticas
do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo
detalhes e justificativas para quaisquer excluses do escopo;
b) Definir uma poltica do SGSI nos termos das caractersticas do
negcio, a organizao, sua localizao, ativos e tecnologia que:
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

13 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
1) inclua uma estrutura para definir objetivos e estabelea um
direcionamento global e princpios para aes relacionadas com a segurana da
informao;
2) considere requisitos de negcio, legais e/ou regulamentares, e
obrigaes de segurana contratuais;
3) esteja alinhada com o contexto estratgico de gesto de riscos da
organizao no qual o estabelecimento e manuteno do SGSI iro ocorrer;
4) estabelea critrios em relao aos quais os riscos sero avaliados; e
5) tenha sido aprovada pela direo.
c) Definir a abordagem de anlise/avaliao de riscos da
organizao.
1) Identificar uma metodologia de anlise/avaliao de riscos que seja
adequada ao SGSI e aos requisitos legais, regulamentares e de segurana da
informao, identificados para o negcio.
2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
aceitveis de risco.
A metodologia de anlise/avaliao de riscos selecionada deve
assegurar que as anlises/avaliaes de riscos produzam resultados
comparveis e reproduzveis.
d) Identificar os riscos.
1) Identificar os ativos dentro do escopo do SGSI e os proprietrios
destes ativos.
2) Identificar as ameaas a esses ativos.
3) Identificar as vulnerabilidades que podem ser exploradas pelas
ameaas.
4) Identificar os impactos que as perdas de confidencialidade,
integridade e disponibilidade podem causar aos ativos.
01624136451

e) Analisar e avaliar os riscos.


1) Avaliar os impactos para o negcio da organizao que podem
resultar de falhas de segurana, levando em considerao as consequncias de
uma perda de confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrncia de falhas de segurana
luz de ameaas e vulnerabilidades prevalecentes, e impactos associados a estes
ativos e os controles atualmente implementados.
3) Estimar os nveis de riscos.
4) Determinar se os riscos so aceitveis ou se requerem tratamento
utilizando os critrios para aceitao de riscos estabelecidos em.
f) Identificar e avaliar as opes para o tratamento de riscos.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

14 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Possveis aes incluem (MATE os riscos!):
1) aplicar os controles apropriados - mitigar
2) aceitar os riscos consciente e objetivamente, desde que satisfaam
claramente s polticas da organizao e aos critrios de aceitao de riscos;
3) evitar riscos; e
4) transferir os riscos associados ao negcio a outras partes, por
exemplo, seguradoras e fornecedores.

g) Selecionar objetivos de controle e controles para o tratamento


de riscos.
Objetivos de controle e controles devem ser selecionados e
implementados para atender aos requisitos identificados pela anlise/avaliao
de riscos e pelo processo de tratamento de riscos. Esses os objetivos de controle
e controles encontram-se no anexo A da norma e no so exaustivos, e
objetivos de controles e controles adicionais podem tambm ser selecionados.
h) Obter aprovao da direo dos riscos residuais propostos.
i) Obter autorizao da direo para implementar e operar o SGSI.
j) Preparar uma Declarao de Aplicabilidade importante!
A Declarao de Aplicabilidade contm:
1) Os objetivos de controle e os controles selecionados e as razes
para sua seleo;
2) Os objetivos
implementados; e

de

controle

os

controles

atualmente

3) A excluso de quaisquer objetivos de controle e controles do


anexo A e a justificativa para sua excluso.
01624136451

2.2.2 Implementar e operar o SGSI

Nesta etapa (do), a organizao deve:


a) Formular um plano de tratamento de riscos que identifique a ao
de gesto apropriada, recursos, responsabilidades e prioridades para a gesto
dos riscos de segurana.
b) Implementar o plano de tratamento de riscos para alcanar os
objetivos de controle identificados, que inclua consideraes de financiamentos e
atribuio de papis e responsabilidades.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

15 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
c) Implementar os controles selecionados para atender aos objetivos
de controle.
d) Definir como medir a eficcia dos controles ou grupos de controles
selecionados, e especificar como estas medidas devem ser usadas para avaliar a
eficcia dos controles de modo a produzir resultados comparveis e
reproduzveis.
e) Implementar programas de conscientizao e treinamento.
f) Gerenciar as operaes do SGSI.
g) Gerenciar os recursos para o SGSI.
h) Implementar procedimentos e outros controles capazes de
permitir a pronta deteco de eventos de segurana da informao e resposta a
incidentes de segurana da informao.

2.2.3 Monitorar e analisar criticamente o SGSI

Nesta etapa (check), a organizao deve:


a) Executar procedimentos de monitorao e anlise crtica e
outros controles para:
1) prontamente detectar erros nos resultados de processamento;
2) prontamente identificar tentativas e violaes de segurana bemsucedidas, e incidentes de segurana da informao;
3) permitir direo determinar se as atividades de segurana da
informao delegadas a pessoas ou implementadas por meio de tecnologias de
informao so executadas conforme esperado;
4) ajudar a detectar eventos de segurana da informao e assim
prevenir incidentes de segurana da informao pelo uso de indicadores; e
5) determinar se as aes tomadas para solucionar uma violao de
segurana da informao foram eficazes.
01624136451

b) Realizar anlises crticas regulares da eficcia do SGSI (incluindo o


atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de controles
de segurana), levando em considerao os resultados de auditorias de
segurana da informao, incidentes de segurana da informao, resultados da
eficcia das medies, sugestes e realimentao de todas as partes
interessadas.
c) Medir a eficcia dos controles para verificar que os requisitos de
segurana da informao foram atendidos.
d) Analisar criticamente as anlises/avaliaes de riscos a
intervalos planejados e analisar criticamente os riscos residuais e os nveis de
riscos aceitveis identificados.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

16 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
e) Conduzir auditorias internas do SGSI a intervalos planejados
f) Realizar uma anlise crtica do SGSI pela direo em bases
regulares para assegurar que o escopo permanece adequado e que so
identificadas melhorias nos processos do SGSI.
g) Atualizar os planos de segurana da informao para levar em
considerao os resultados das atividades de monitoramento e anlise crtica.
h) Registrar aes e eventos que possam ter um impacto na eficcia ou
no desempenho do SGSI.
2.2.4 Manter e melhorar o SGSI

Nesta etapa (act), a organizao deve, regularmente:


a) Implementar as melhorias identificadas no SGSI.
b) Executar as aes preventivas e corretivas apropriadas. Aplicar as
lies aprendidas de experincias de segurana da informao de outras
organizaes e aquelas da prpria organizao.
c) Comunicar as aes e melhorias a todas as partes interessadas com
um nvel de detalhe apropriado s circunstncias e, se relevante, obter a
concordncia sobre como proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos
pretendidos.

2.3

Requisitos de documentao

importante saber o que a norma enfatiza que seja documentado, por


ocasio da elaborao do SGSI. Afinal, a documentao deve incluir registros de
decises da direo, assegurar que as aes sejam rastreveis s polticas e
decises da direo, e assegurar que os resultados registrados sejam
reproduzveis.
01624136451

Tais documentos devem incluir:


a) declaraes documentadas da poltica e objetivos do SGSI;
b) o escopo do SGSI;
c) procedimentos e controles que apoiam o SGSI;
d) uma descrio da metodologia de anlise/avaliao de riscos;
e) o relatrio de anlise/avaliao de riscos;
f) o plano de tratamento de riscos;

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

17 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
g) procedimentos documentados requeridos pela organizao para
assegurar o planejamento efetivo, a operao e o controle de seus processos de
segurana de informao e para descrever como medir a eficcia dos controles;
h) registros requeridos pela Norma; e
i) a Declarao de Aplicabilidade.

Enfim, esta leitura tem por objetivo familiariz-lo com o contedo da


norma. Sua leitura continua sendo necessria, para melhor compreenso e
realizao de questes de prova. No deixe de ler!

01624136451

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

18 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
3. Gesto de Continuidade de Negcios

3.1 Consideraes Iniciais

A ISO 15999 preconiza a adoo de um Plano de Continuidade de Negcios


para a recuperao de desastres. A norma preconiza que:
Convm que cada plano de continuidade do negcio descreva o enfoque
para continuidade, por exemplo, o enfoque para assegurar a disponibilidade e
segurana do sistema de informao ou da informao. Convm que cada plano
tambm especifique o plano de escalonamento e as condies para sua ativao,
assim como as responsabilidades individuais para execuo de cada uma das
atividades do plano. Quando novos requisitos so identificados, importante que
os procedimentos de emergncia relacionados sejam ajustados de forma
apropriada, por exemplo, o plano de abandono ou o procedimento de
recuperao. Convm que os procedimentos do programa de gesto de mudana
da organizao sejam includos para assegurar que os assuntos de continuidade
de negcios estejam sempre direcionados adequadamente.
Convm que cada plano tenha um gestor especfico. Convm que
procedimentos de emergncia, de recuperao, manual de planejamento e
planos de reativao sejam de responsabilidade dos gestores dos recursos de
negcios ou dos processos envolvidos. Convm que procedimentos de
recuperao para servios tcnicos alternativos, como processamento de
informao e meios de comunicao, sejam normalmente de responsabilidade
dos provedores de servios.
Convm que uma estrutura de planejamento para continuidade de negcios
contemple os requisitos de segurana da informao identificados e considere os
seguintes itens:
01624136451

a) condies para ativao dos planos, os quais descrevem os processos a


serem seguidos (como se avaliar a situao, quem deve ser acionado etc.) antes
de cada plano ser ativado;
b) procedimentos de emergncia que descrevam as aes a serem
tomadas aps a ocorrncia de um incidente que coloque em risco as operaes
do negcio;
c) procedimentos de recuperao que descrevam as aes necessrias
para a transferncia das atividades essenciais do negcio ou os servios de
infraestrutura para localidades alternativas temporrias e para a reativao dos
processos do negcio no prazo necessrio;
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

19 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
d) procedimentos operacionais temporrios para seguir durante a concluso
de recuperao e restaurao;
e) procedimentos de recuperao que descrevam as aes a serem
adotadas quando do restabelecimento das operaes;
f) uma programao de manuteno que especifique quando e como o
plano dever ser testado e a forma de se proceder manuteno deste plano;
g) atividades de treinamento, conscientizao e educao com o propsito
de criar o entendimento do processo de continuidade de negcios e de assegurar
que os processos continuem a ser efetivo;
h) designao das responsabilidades individuais, descrevendo quem
responsvel pela execuo de que item do plano. Convm que suplentes sejam
definidos quando necessrio;
i) os ativos e recursos crticos precisam estar aptos a desempenhar os
procedimentos de emergncia, recuperao e reativao.
Segundo o estudo Plano de Continuidade de Negcio: Planejamento,
disponvel em http://www.lyfreitas.com.br/ant/artigos_mba/artpcn.pdf, um PCN
um conjunto de trs outros planos: o Plano de Gerenciamento de Crises
(PGC), o Plano de Continuidade Operacional (PCO) e o Plano de
Recuperao de Desastres (PRD). Cada um destes planos focado em uma
determinada varivel de risco, numa situao de ameaa ao negcio da empresa
(ou ambiente): O PGC, nas atividades que envolvem as respostas aos
eventos; O PCO, voltado para as atividades que garantam a realizao
dos processos e o PRD, voltado para a substituio ou reposio de
componentes que venham a ser danificados.
Plano de Gerenciamento de Crises PGC Este documento tem o
propsito de definir as responsabilidades de cada membro das equipes
envolvidas com o acionamento da contingncia antes, durante e depois da
ocorrncia do incidente. Alm disso, tem que definir os procedimentos a serem
executados pela mesma equipe no perodo de retorno normalidade. O
comportamento da empresa na comunicao do fato imprensa um exemplo
tpico de tratamento dado pelo plano.
01624136451

Plano de Continuidade Operacional PCO Tem o propsito de definir os


procedimentos para contingenciamento dos ativos que suportam cada processo
de negcio, objetivando reduzir o tempo de indisponibilidade e,
consequentemente, os impactos potenciais ao negcio. Orientar as aes diante

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

20 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
da queda de uma conexo Internet exemplificam os desafios organizados pelo
plano.
Plano de Recuperao de Desastres PRD Tem o propsito de definir
um plano de recuperao e restaurao das funcionalidades dos ativos afetados
que suportam os processos de negcio, a fim de restabelecer o ambiente e as
condies originais de operao, no menor tempo possvel.
Para obteno de sucesso nas aes dos planos, necessrio estabelecer
adequadamente os gatilhos de acionamento para cada plano de continuidade.
Estes gatilhos so parmetros de tolerncia usados para sinalizar o incio da
operacionalizao da contingncia, evitando acionamentos prematuros ou
tardios.
Cabe destacar que o PCN deve ser planejado antes da ocorrncia de
desastres, para diminuir ou mitigar o impacto causado pelos mesmos. Ao criar o
PCN/BCP, deve-se manipular as variveis ETIPI, a saber:
E Energia Operadoras fornecedoras de energia eltrica;
T Telecomunicaes Empresas que fornecem comunicao usando
dados e voz;
I Infraestrutura
Segurana Fsica, etc;

Localizao,

para-raios,

Instalaes

Eltricas,

P Pessoas Contingncia das atividades e atendimento atravs de Sites


Remotos;
I Informtica Equipamentos, Sistemas, Conectividade, dentre outros.

3.2 Anlise de Impacto de Negcios (BIA)


01624136451

Quanto Anlise de Impacto no Negcio (BIA), a ISO 15999 preconiza


a convenincia de a organizao definir e documentar o impacto de uma
interrupo nas atividades que suportam seus produtos e servios fundamentais.
A materializao deste processo a prpria BIA.
Para cada atividade que suporta a entrega de produtos e servios
fundamentais para a organizao, dentro do escopo da Gesto de Continuidade
de Negcios, convm que a organizao:

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

21 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
a) Verifique, conforme o passar do tempo, o impacto que aconteceria
caso a atividade fosse interrompida;
b) Estabelea o perodo mximo de interrupo tolervel de cada
atividade, identificando:
O tempo mximo decorrido aps o incio de uma interrupo para
que uma atividade precise ser reiniciada;
O nvel mnimo no qual a atividade tem que ser desempenhada
aps seu reincio;
O tempo mximo at a retomada dos nveis normais de
operao.
c) Identificar
quaisquer
atividades
interdependentes,
ativos,
infraestrutura de suporte ou recursos que tambm precisem ser
mantidos continuamente ou recuperados ao longo do tempo.
Por fim, ao avaliar os impactos, convm que a organizao considere
aqueles que se relacionam a seus objetivos de negcio e s partes interessadas.
Estes podem incluir:
a)
b)
c)
d)
e)
f)
g)

Impacto ao bem-estar das pessoas;


Dano ou perda de instalaes, tecnologias ou informao;
No cumprimento de deveres ou regulamentaes;
Danos reputao;
Danos viabilidade financeira;
Deteriorao da qualidade de produtos ou servios;
Danos ambientais.

3.3 Estratgias de Recuperao

O Plano de Continuidade tem sua sustentao bsica composta pelos


procedimentos de cpias de base de dados e a respectiva guarda destas cpias
em local seguro. O armazenamento estas cpias est diretamente relacionado
Estratgia de Recuperao (ou Contingncia) da organizao.
01624136451

Cada tipo de arquivo ir exigir um tipo de cpia. Entretanto, numa primeira


abordagem, podemos distinguir entre dois tipos de arquivos: os arquivos de uso
Corporativo e os arquivos de uso pessoal. Independente do tipo de arquivo, sua
cpia e a respectiva armazenagem desta cpia uma exigncia do Plano de
Continuidade, de acordo com a poltica de segurana estabelecida.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

22 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09

As cpias (backups) de todas as bases de dados corporativas devem ser


feitas com a frequncia que suas atualizaes demandarem pela rea gestora
dos Recursos de Tecnologia de Informao.
A guarda deve ser feita em local seguro, com uma distncia geogrfica
mnima que evite que problemas nas instalaes tenham repercusso no local de
guarda das cpias (ou vice-versa).
Baseado na importncia dos backups, pois guardam uma cpia fiel dos
dados minutos, ou at segundos, antes de um desastre, foram criadas diversas
estratgias para o seu armazenamento, que so:
Estratgia de Contingncia Hot-site Recebe este nome por ser uma
estratgia pronta para entrar em operao assim que uma situao de risco
ocorrer. O tempo de operacionalizao desta estratgia est diretamente ligado
ao tempo de tolerncia a falhas do objeto. Se a aplicssemos em um
equipamento tecnolgico, um servidor de banco de dados, por exemplo,
estaramos falando de milissegundos de tolerncia para garantir a
disponibilidade do servio mantido pelo equipamento.
Estratgia de Contingncia Warm-site Esta se aplica a objetos com
maior tolerncia paralisao, podendo se sujeitar indisponibilidade por mais
tempo, at o retorno operacional da atividade, como exemplo, o servio de email dependente de uma conexo. Vemos que o processo de envio e
recebimento de mensagens mais tolerante que o exemplo usado na estratgia
anterior, pois poderia ficar indisponvel por minutos, sem, no entanto,
comprometer o servio ou gerar impactos significativos.
Estratgia de Contingncia Cold-site Dentro da classificao nas
estratgias anteriores, esta prope uma alternativa de contingncia a partir de
um ambiente com os recursos mnimos de infraestrutura e telecomunicaes,
desprovido de recursos de processamento de dados. Portanto, aplicvel
situao com tolerncia de indisponibilidade ainda maior, claro que esta
estratgia foi analisada e aprovada pelos gestores.
01624136451

Estratgia de Contingncia Datacenter Considera a probabilidade


de transferir a operacionalizao da atividade atingida para um ambiente
terceirizado; portanto, fora dos domnios da empresa. Por sua prpria natureza,
em que requer um tempo de indisponibilidade menor em funo do tempo de
reativao operacional da atividade, torna-se restrita a poucas organizaes,
devido ao seu alto custo. O fato de ter suas informaes manuseadas por
terceiros e em um ambiente fora de seu controle, requer ateno na adoo de
procedimentos, critrios e mecanismos de controle que garantam condies de
segurana adequadas relevncia e criticidade da atividade contingenciada.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

23 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
EXERCCIOS COMENTADOS

(CESPE ANATEL Analista Desenvolvimento de Sistemas de


Informao 2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para
prover um modelo de estabelecimento, implementao, operao, monitorao,
anlise crtica, manuteno e melhoria do sistema de gesto de sistemas de
informao (SGSI). Com relao a esse assunto, julgue os itens que se seguem.

1 Devido a questes econmicas, a norma em questo no cobre empresas


de pequeno porte.

Errado! A Norma 27001 pode ser aplicada a qualquer organizao, de


qualquer natureza e porte.

2 A referida norma adota o modelo de melhoria contnua PDCA, que


apresenta as seguintes etapas: PLAN estabelecer o SGSI; DO implementar
e operar o SGSI; CHECK monitorar e analisar criticamente o SGSI; e ACT
manter e melhorar o SGSI.

Correto. Descrio correta do ciclo PDCA.

(CESPE ANATEL Analista Infraestrutura de TI 2014) Julgue os


itens a seguir a respeito das normas ISO/IEC 27001 e ISO/IEC 27002 e do
sistema de gesto de segurana da informao (SGSI).
01624136451

3 A norma ISO 27002 recomenda que as chaves criptogrficas usadas para


as assinaturas digitais de documentos eletrnicos sejam idnticas quelas
usadas para a criptografia desses documentos: a padronizao das chaves
garante maior segurana aos documentos.

Errado! Isso viola inclusive o conceito de criptografia assimtrica. O


correto utilizar a chave privada para cifrar a assinatura digital (de modo que a
chave pblica possa decifr-la) e utilizar a chave pblica do destinatrio para
cifrar contedo, de modo que apenas a chave privada do destinatrio possa
decifr-la.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

24 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
4 Na norma ISO 27001, recomenda-se que, no contexto da ao
preventiva, a organizao identifique tanto alteraes nos riscos quanto os
consequentes requisitos de aes preventivas, especialmente no que diz respeito
aos riscos que tenham sofrido alteraes significativas.

Correto. razovel, preventivamente falando, a atualizao dos riscos,


ainda mais aqueles que sofrem alteraes significativas.

(CESPE SUFRAMA Analista Tecnologia da Informao 2014)


Nesse sentido, considere que a sigla SGSI, sempre que utilizada, se refere a
sistema de gesto de segurana da informao.
5 A fim de se alcanar a melhoria contnua na implementao e na
operao do SGSI, o Do (fazer) do PDCA executa aes corretivas e preventivas
a partir dos resultados da auditoria interna do SGSI e da anlise crtica pela
direo ou de outra informao pertinente.

Errado! o Do implementa e opera a poltica, controles, processos e


procedimentos do SGSI. Quem executa aes corretivas e preventivas o Act.

01624136451

Modelo PDCA aplicado aos processos do SGSI.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

25 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
6 A identificao do que no est de acordo e o registro dos resultados das
aes executadas so procedimentos que visam eliminar as causas de no
conformidade com os requisitos do SGSI.

Correto. A organizao deve executar aes para eliminar as causas de


no-conformidades com os requisitos do SGSI, de forma a evitar a sua
repetio. O procedimento documentado para ao corretiva deve definir
requisitos para identificar no-conformidades e registrar os resultados das aes
executadas.

(CESPE TJ/SE Analista Anlise de Sistemas 2014) Com base


nas normas ABNT NBR ISO/IEC n. 27001:2006 e n. 27002:2005, julgue os
itens a seguir, relativos gesto de segurana da informao.
7 Para alcanar os objetivos de controle identificados, faz parte da etapa
Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as
consideraes de financiamentos e a atribuio de papis e responsabilidades.

Correto. Implementar o plano de tratamento de riscos faz parte do Do.

8 Para evitar o vazamento de informaes corporativas, que gera prejuzos


enormes s organizaes, a utilizao de equipamentos fora das dependncias
da organizao requer obrigatoriamente a autorizao prvia da administrao.

Errado! Embora a medida parea sensata, a ISO 27002 no obriga, ela


sugere. Da o equvoco da assertiva.
01624136451

9 De acordo com a norma ISO/IEC n. 27002:2005, permitido que o


administrador de sistemas suprima ou desative o registro (log) de suas prprias
atividades em caso de falta de espao em disco.

Errado! Quando possvel, convm que administradores de sistemas no


tenham permisso de excluso ou desativao dos registros (log) de suas
prprias atividades. O log de TI um elemento importante demais para ser
desativado diante da primeira adversidade.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

26 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
10 No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do
SGSI, uma anlise de riscos deve ser realizada somente quando houver
mudana nos requisitos de segurana ou quando forem identificadas ameaas
que coloquem em risco a segurana da organizao.

Errado! Anlises de riscos devem ser realizadas periodicamente, em


especial quando houver mudana nos requisitos de segurana ou quando forem
identificadas ameaas que coloquem em risco a segurana da organizao.

(CESPE SERPRO Analista Administrao de Servios de


Tecnologia da Informao 2013) No que concerne norma ABNT NBR
ISO/IEC 27002, julgue o item seguinte.
11 O documento de poltica de segurana da informao declara o
comprometimento da alta direo da organizao e descreve os requisitos de
conscientizao e treinamento em segurana da informao.

Correto.

(CESPE Banco da Amaznia Tcnico Cientfico Segurana da


Informao 2012) Com base nos aspectos gerais da norma ABNT NBR
ISO/IEC 27002, que estabelece o cdigo de prtica para a gesto da segurana
da informao, julgue os itens que se seguem.
12 A conformidade no um dos contedos da referida norma, pois no
visa obteno de certificao, j que essa incumbncia fica a cargo de
empresas privadas responsveis pala anlise de conformidade da prtica de
empresas s prticas recomendadas tanto pela NBR 27002 quanto pela NBR
27001.
01624136451

Errado! A Conformidade um captulo da norma que se preocupa com


requisitos legais, proteo propriedade intelectual, alinhamento a leis e normas
vigentes, dentre outros.

13 Uma anlise de riscos deve ser realizada periodicamente em um


ambiente computacional, principalmente quando houver a mudana nos
requisitos de segurana ou quando surgirem novas ameaas ou vulnerabilidades
que ponham em risco a segurana.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

27 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Correto.

14 Requisitos de segurana da informao podem ser obtidos a partir da


anlise/avaliao dos riscos da organizao com base nos seus objetivos
estratgicos; a partir da legislao vigente; e, finalmente, a partir dos requisitos
do negcio para o processamento da informao que a organizao desenvolve
para realizar suas operaes.

Correto.

15 A proteo de dados e privacidade de informaes pessoais, de


registros organizacionais e os direitos de propriedade intelectual muitas vezes
so vistos erroneamente como controles essenciais para uma organizao.

Errado! Naturalmente que esses controles so essenciais, todos previstos


no captulo de Conformidade.

16 A norma em apreo estabelece diretrizes e princpios para a segurana


da informao, no entanto a implementao de seus objetivos de controles e dos
controles no garante o atendimento aos requisitos de segurana da informao,
pois a implementao de responsabilidade do SGSI.

Errado! objetivo da norma que os objetivos de controle e os controles


garantam o atendimento aos requisitos de segurana da informao.
01624136451

(CESPE Banco da Amaznia Tcnico Cientfico Segurana da


Informao 2012) Com relao a contedo prtico, objetivos de controles e
diretrizes para implementao recomendados pela norma ABNT NBR ISO/IEC
27002, julgue os itens.
17 Cabe exclusivamente aos gestores e administradores a coordenao da
segurana da informao dentro de uma organizao.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

28 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09

Errado! Convm que a coordenao da segurana da informao envolva


a cooperao e colaborao de gerentes, usurios, administradores,
desenvolvedores, auditores, pessoal de segurana e especialistas com
habilidades nas reas de seguro, questes legais, recursos humanos, TI e gesto
de riscos.

18 A responsabilidade por um ativo de informao na organizao deve ser


atribuda s equipes de suporte estabelecidas e nomeadas. De acordo com a
norma vigente, veda-se, por exemplo, responsabilizar um usurio por um ativo
inventariado.

Errado! Convm que todos os ativos sejam inventariados e tenham um


proprietrio responsvel. Imagina se os ativos inventariados no tivessem
responsveis...

19 Em gesto da segurana da informao, s devem ser classificadas as


informaes que possuam algum valor para a organizao, ou seja, aquelas cuja
divulgao traga algum malefcio financeiro ou de imagem a qualquer indivduo
que nela trabalhe.

Errado! Convm que a informao seja classificada em termos do seu


valor, requisitos legais, sensibilidade e criticidade para a organizao. No h
restries apenas para informaes valorosas.

20 Uma informao deve ser classificada de acordo com os seus requisitos


de confidencialidade, integridade e disponibilidade, no havendo, nessa norma,
indicao de parmetros para outros tipos de requisitos a serem considerados.
01624136451

Errado! Convm que a informao seja classificada em termos do seu


valor, requisitos legais, sensibilidade e criticidade para a organizao.

21 A ao de se evitar um risco, de modo a eliminar a ocorrncia de suas


consequncias e, naturalmente, a realizao da atividade que o ocasionaria, no
faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se
toma, no ao que se evita.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

29 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Errado! MATE os riscos! Mitigar, aceitar, transferir e evitar.

22 As consequncias da violao da poltica de segurana devem ser


includas em um plano de tratamento de riscos, mas no devem fazer parte do
documento da poltica em si.

Errado! O Documento da Poltica de Segurana da Informao deve conter,


dentre outros:
1) conformidade com a legislao e com requisitos regulamentares e
contratuais;
2) requisitos de conscientizao, treinamento e educao em segurana da
informao;
3) gesto da continuidade do negcio;
4) consequncias das violaes na poltica de segurana da
informao.

23 Segundo a citada norma, convm que a poltica de segurana seja


analisada crtica e periodicamente, luz do resultado do desempenho do
processo e de acordo com a poltica de segurana da informao.

Correto.

01624136451

24 A norma em questo recomenda que sejam includas, na poltica de


segurana da informao, declaraes que esclaream termos e condies de
trabalho de recursos humanos, incluindo at responsabilidades que se estendam
para fora das dependncias da organizao e fora dos horrios normais de
trabalho.

Correto.

25 Recuperao de erros, procedimentos de reinicializao e planos de


contingncia, apesar de serem bem especficos ao processo de aceitao de
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

30 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
sistemas, devem ser considerados para minimizar os riscos de falhas de
sistemas, no gerenciamento de operaes e comunicaes preconizado pela
norma 27002.

Correto.

26 A norma referida recomenda que se realizem treinamento, educao e


conscientizao de pessoas apenas antes da contratao, para assegurar que os
novos recursos humanos saibam agir com segurana diante das atividades a
serem desenvolvidas por eles.

Errado! Antes de contratar adotam-se critrios para selecionar os


funcionrios. Treinamento, conscientizao e educao de pessoas ocorre
durante o perodo de contratao.

(CESPE Banco Central do Brasil Analista rea 2 2013) Julgue


os itens a seguir com base na norma NBR ISO/IEC n. 27.002 da ABNT.
27 As informaes operacionais includas no ambiente antes dos testes de
intruso devem ser nele mantidas aps o teste.

Errado! A informao operacional dever ser apagada do aplicativo em


teste IMEDIATAMENTE aps completar-se o teste.

28 A utilizao de VPN (virtual private network) entre o usurio e o ponto


de acesso que difunde o sinal em uma rede wireless garante confidencialidade e
integridade ao trfego da rede.
01624136451

Correto. VPN um recurso confivel, mesmo em redes sem fio.

(CESPE Ministrio das Comunicaes Atividade Tcnica de


Complexidade Gerencial Especialidade 25 2013) A respeito da norma
NBR ISO/IEC 27.002:2005, julgue os itens a seguir.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

31 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
29 De acordo com a referida norma, todos os itens de controle, sees e
etapas so aplicveis apenas a organizaes de grande envergadura.

Errado! Qualquer organizao, independentemente do porte, pode adotar a


ISO 27002.

30 A norma NBR citada acima prev onze sees sobre o tratamento de


riscos de segurana da informao.

Errado! Que questo de prova desnecessria! Mas, enfim, so 11 sees


de controles de segurana da informao, que juntas totalizam 39
categorias principais de segurana e uma seo introdutria que aborda a
anlise/avaliao e o tratamento de riscos.

(CESPE ANTT Analista Administrativo Infraestrutura de TI


2013) Julgue os itens subsequentes, a respeito da norma NBR ISO/IEC 27002.
31 Na implementao de segurana fsica e segurana do ambiente em
uma organizao, devem ser definidas reas seguras para prevenir acessos
fsicos no autorizados, danos e interferncias com as instalaes e com as
informaes da organizao. Deve ainda ser implantada uma rea de recepo,
de modo que o acesso a locais definidos como rea seguras fiquem restritos
somente ao pessoal da organizao.

Errado! Quase tudo certo, mas olha a pegadinha! ...restritos somente ao


pessoal da organizao. Nada disso! Restritos somente ao pessoal autorizado!
Nem todo mundo que da organizao dever ter acesso a reas seguras!
01624136451

32 Na gesto dos ativos, cujo objetivo principal manter a proteo


adequada dos ativos da organizao, importante que os principais ativos de
informao sejam inventariados e atribudos a um proprietrio responsvel que,
por questo de segurana, no pode delegar a implementao dos controles.

Errado! A implementao dos controles de segurana pode ser delegada,


embora o proprietrio do ativo permanea responsvel pelo mesmo.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

32 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
33 De acordo com a norma em questo, as senhas devem ser modificadas
no primeiro acesso ao sistema e devem ser includas em processos automticos
de acesso ao sistema, como os que utilizam macro e tokens.

Errado! As senhas devem ser modificadas no primeiro acesso e no


podem ser includas em nenhum processo automtico de acesso ao
sistema, por exemplo, armazenadas em um macro ou funes-chave.

34 Na aplicao de controle de segurana, funes e reas de


responsabilidade devem ser realizadas de forma conjunta, pelas mesmas
pessoas para reduzir as oportunidades de modificao.

Errado! Responsabilidades como as supracitadas devem ser segregadas


para evitar fraudes e erros.

(CESPE Banco da Amaznia Tcnico Cientfico Segurana da


Informao 2012) No que se refere aos objetivos de controle, contidos no
Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes.
35 Conforme prev a norma em apreo, em acordo com terceiros referente
aquisio de produtos de TI, dispensa-se o controle do SGSI no que diz
respeito a segurana da informao.

Errado! A questo j soa errada, no mesmo? Mesmo para produtos de


TI adquiridos de terceiros, deve-se garantir que segurana parte integrante
de sistemas de informao A.12.1.
01624136451

36 A violao da poltica de segurana da informao deve ser apurada por


meio da aplicao de processo disciplinar formal: o que estabelece o controle
de processo disciplinar contido no grupo de controle de segurana em recursos
humanos.

Correto. Controle A.8.2.3.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

33 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
37 A integridade de informaes disponibilizadas em sistemas acessveis
publicamente no precisa ser alvo da poltica de segurana, visto que so, por
natureza, informaes no confidenciais, ou seja, pblicas.

Errado! Mesmo as informaes pblicas devem ser influenciadas pela


poltica de segurana da informao, para que no sofram modificaes no
autorizadas. Controle A.10.9.3.

38 Entre os controles referentes ao gerenciamento de acesso do usurio,


tendo-se em vista assegurar o acesso autorizado e prevenir o no autorizado, o
anexo em questo estabelece que a anlise crtica de direitos de acesso dos
usurios deve ser feita por meio de um processo formal e conduzida em
intervalos regulares.

Correto. Controle A.11.2.4.

39 A referida norma explcita ao afirmar que, em razo de seu carter


privativo, as polticas e procedimentos de segurana de uma organizao no
podem ser expostos opinio de outros, o que impossibilita contatos com
grupos de interesses especiais ou ainda a promoo de fruns especializados de
segurana da informao e associaes profissionais.

Errado! Contatos apropriados com grupos de interesses especiais ou


outros fruns especializados de segurana da informao e associaes
profissionais devem ser mantidos. Controle A.6.1.7.
01624136451

(CESPE Polcia Federal Perito rea 3 2013) Com relao


norma ISO/IEC 27001:2006, julgue os itens a seguir.
40 De acordo com a norma ISO/IEC 27001:2006, a formulao de um
plano de tratamento de riscos que identifique a ao apropriada, os recursos, as
responsabilidades e as prioridades para a gesto de riscos est relacionada
etapa Do do ciclo PDCA.

Correto. Faz parte da etapa Implementar e Operar o SGSI.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

34 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
41 Segundo a norma ISO/IEC 27001:2006, a organizao deve elaborar
uma declarao de aplicabilidade, detalhando os ativos dentro do escopo do
SGSI e os seus proprietrios, bem como as possveis ameaas aplicadas a tais
ativos e as vulnerabilidades por elas exploradas.

Errado! A Declarao de Aplicabilidade se relaciona aos objetivos de


controles que:
1) foram selecionados, e as razes para sua seleo;
2) esto atualmente implementados; e
3) foram excludos justificativa para sua excluso.
Portanto, no est diretamente relacionado aos ativos e ao contedo
descrito no enunciado. O que o enunciado cita est relacionado Identificao
dos Riscos, por ocasio do Estabelecimento do SGSI.

42 Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema


de Gesto da Segurana da Informao (SGSI), devem-se identificar e avaliar as
opes para o tratamento de riscos, cujas aes englobam a aceitao
consciente dos riscos (desde que satisfaam s polticas estabelecidas dentro da
organizao), bem como a possibilidade de transferncia dos riscos para outras
partes, como seguradoras e fornecedores.

Correto. Saber que a identificao dos riscos ocorre no estabelecimento do


SGSI uma ideia forte para acertar esse tipo de questo.

(CESPE TCE/ES Auditor de Controle Externo Tecnologia da


Informao 2012) Segundo as normas NBR ISO/IEC 27001 e 27002, julgue
os itens a seguir, a respeito de gesto de segurana da informao.
01624136451

43 O gerenciamento de acesso do usurio plenamente implementado


pelos seguintes controles: registro de usurio, gerenciamento de privilgios e
gerenciamento de senha do usurio.

Errado! Faltou a Anlise crtica dos direitos de acesso do usurio.


Questo maldosa! Prestou ateno no plenamente?

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

35 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
44 Uma poltica de segurana da informao deve fornecer orientao e
apoio da direo para a segurana da informao, de acordo com os requisitos
do negcio e com as leis e regulamentaes relevantes. O documento da poltica
de segurana da informao necessita da aprovao da direo da organizao e
deve ser publicado e comunicado para todos os funcionrios e partes externas
relevantes, no devendo ser alterado a partir de ento.

Errado! Tudo certo, menos a pegadinha no final, uma vez que a poltica
de segurana da informao deve ser analisada criticamente a intervalos
planejados ou quando mudanas significativas ocorrerem, para assegurar a sua
contnua pertinncia, adequao e eficcia.

45 Na NBR ISO/IEC 27001, so estabelecidos controles que regem o uso e


a configurao de cdigos mveis claramente autorizados, em concordncia com
a poltica de segurana da informao.

Correto. Controle A.10.4.2: Onde o uso de cdigos mveis autorizado,


a configurao deve garantir que o cdigo mvel autorizado opere de acordo
com uma poltica de segurana da informao claramente definida e que cdigos
mveis no autorizados tenham sua execuo impedida.

(CESPE SERPRO Analista


Tecnologia da Informao 2013) A
27001, julgue os itens a seguir. Nesse
sempre que utilizada, refere-se a sistema

Administrao de Servios de
respeito da norma ABNT NBR ISO/IEC
sentido, considere que a sigla SGSI,
gesto de segurana da informao.

46 Entre os documentos que fazem parte da documentao de um SGSI,


esto includas a declarao da poltica do SGSI, o escopo do SGSI e o plano de
tratamento de risco.
01624136451

Correto. Tambm fazem parte procedimentos e controles que apoiam


o SGSI, descrio da metodologia de anlise/avaliao de riscos,
relatrio de anlise/avaliao de riscos, outros procedimentos
documentados requeridos pela organizao e a Declarao de
Aplicabilidade. (item 4.3.1)

47 Na etapa de melhoria do SGSI, ocorrem as auditorias internas em


intervalos planejados.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

36 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Errado! Ocorre na fase de Monitorar e analisar criticamente o SGSI.

48 Para se estabelecer um SGSI, necessrio definir a estratgia de


avaliao dos riscos, que importante para a preparao da declarao de
aplicabilidade.

Errado! Questo maldosa. A Norma ISO 27001 no cita o termo


estratgia de avaliao dos riscos, mas sim metodologias para
anlise/avaliao dos riscos.

49 Para assegurar que o SGSI continua conveniente com a realidade da


organizao, a direo deve analis-lo em intervalos planejados.

Correto.

50 A execuo de procedimentos e controles para identificar tentativas e


falhas de segurana e incidentes que foram bem-sucedidos faz parte da etapa de
implementao e operao do SGSI.

Errado! Tais procedimentos so executados na etapa de monitorao e


avaliao do SGSI.

01624136451

(CESPE SERPRO Analista Negcios em Tecnologia da


Informao 2013) Acerca da segurana da informao, julgue os itens
subsequentes.
51 Na elaborao do plano de continuidade do negcio de uma
organizao, devem ser considerados no apenas os procedimentos de
recuperao das atividades, mas tambm os procedimentos de emergncia aps
a ocorrncia de um incidente.

Correto.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

37 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
52 Pode ser identificada uma equivalncia entre o modelo de gesto PDCA
(plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. A etapa
do (fazer) corresponde a manter e melhorar os sistemas de gesto de segurana
da informao (SGSI), ou seja, devem-se executar as aes corretivas e
preventivas necessrias para alcanar a melhoria contnua do SGSI.

Errado! A etapa do corresponde implementar e operar o SGSI.


Memorize a tabela abaixo!

53 Considere que uma mensagem de correio eletrnico, supostamente


vinda do provedor de Internet, sob a alegao de que o computador que recebia
a mensagem estava infectado por um vrus, sugeria que fosse instalada uma
ferramenta de desinfeco. Considere ainda que na verdade, a ferramenta
oferecida era um programa malicioso que, aps a instalao, tornou os dados
pessoais do usurio acessveis ao remetente da mensagem. Nessa situao
hipottica, correto afirmar que houve um ataque de engenharia social.
01624136451

Correto. Aproveitando-se da inocncia e do treinamento insuficiente do


usurio.

54 Os rtulos fsicos so a forma mais usada para definir a classificao de


uma informao, mas so substitudos, em algumas situaes, por
procedimentos e metadados.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

38 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Correto. Documentos eletrnicos protegidos por senhas e nveis de acesso
no tero rtulo fsico, por exemplo.

55 A poltica de segurana da informao (PSI) deve buscar o


comprometimento integral de toda a organizao, portanto o tratamento das
consequncias advindas da violao das normas de segurana no de sua
competncia.

Errado! Inclusive h a previso de estabelecimento de processo disciplinar


formal para aqueles que violam as normas de segurana.

(CESPE Ministrio das Comunicaes Atividade Tcnica de


Complexidade Gerencial Especialidade 25 2013) Em relao aos
conceitos bsicos da NBR ISO/IEC 27001:2006, julgue os itens subsecutivos.
56 A norma em tela prev que o SGSI inclua uma estrutura para definir
objetivos e estabelea direcionamento global para aes relativas segurana
da informao.

Correto.

57 De acordo com a referida norma, os riscos so aceitveis, desde que


satisfaam claramente s polticas da organizao e aos critrios de aceitao de
riscos.

01624136451

Correto.

58 O processo do Sistema de Gesto de Segurana da Informao (SGSI),


estabelecido pela norma NBR ISO/IEC 27001:2006, se baseia no modelo PDCA
(plan do check act).

Correto.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

39 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09

(CESPE ANTT Analista Administrativo Infraestrutura de TI


2013) Julgue os itens a seguir, acerca da norma NBR ISO/IEC 27001:2006.
Nesse sentido, considere que a sigla SGSI, sempre que utilizada, refere-se a
sistema de gesto de segurana da informao.
59 No estabelecimento do SGSI, a organizao deve preparar uma
declarao de aplicabilidade que inclua os objetivos de controle e controles
selecionados e as razes para sua seleo e os objetivos de controle e controles
atualmente implementados.

Correto.

60 A avaliao de riscos, apesar de envolver a comparao do risco


estimado com critrios de risco predefinidos para determinar a importncia do
risco em relao segurana da informao, no faz parte da documentao do
SGSI.

Errado! Naturalmente faz parte! Na etapa estabelecer o SGSI os riscos


so identificados e avaliados. E a documentao so SGSI deve incluir no s
uma descrio da metodologia de anlise/avaliao de riscos como
tambm deve conter o relatrio de anlise/avaliao de riscos. Alm, claro,
do plano de tratamento de riscos. (item 4.3.1)

61 Na fase check, do modelo PDCA (plan, do, check, act), ocorre, alm da
monitorao e anlise crtica do SGSI, a medio do desempenho de um
processo frente poltica, aos objetivos e experincia prtica do SGSI.
01624136451

Correto. Tambm devem ser apresentados os resultados para a anlise


crtica pela direo.

62 Um SGSI projetado para assegurar a seleo de controles de


segurana adequados para proteger os ativos de informao e propiciar
confiana s partes envolvidas.

Correto.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

40 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
63 A organizao deve prover os recursos necessrios tanto no
estabelecimento quanto na manuteno do SGSI, para assegurar o apoio dos
procedimentos de segurana da informao aos requisitos de negcio, bem
como o tratamento destinado aos requisitos legais e regulamentares e s
obrigaes contratuais de segurana da informao, conforme a necessidade
exigida.

Correto.

(CESPE SERPRO Analista Suporte Tcnico 2013) 64 De acordo


com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e
auditoria. Todas essas etapas so contempladas nas fases Planejar (Plan), Fazer
(Do), Checar (Check) e Agir (Act).

Correto.

(CESPE SERPRO Tcnico Operao de Redes 2013) A adoo


de um sistema de gesto de segurana da informao (SGSI) deve ser uma
deciso estratgica para uma organizao. Por sua vez, a forma de implantao
do SGSI influenciada por necessidades e objetivos, requisitos de segurana,
processos empregados, e tamanho e estrutura da organizao. Acerca desse
assunto e com base na especificao de segurana da informao descrita na
norma ISO 27001, julgue os itens a seguir.
65 Na fase de implementao e operao do SGSI, a organizao deve
executar procedimentos para prontamente determinar se as aes tomadas para
solucionar uma violao de segurana foram eficazes, assim como implantar os
controles selecionados para atender aos objetivos de controle.
01624136451

Correto.

66 No conveniente que os documentos requeridos pelo SGSI sejam


distribudos para todos os funcionrios da organizao, mesmo que estes
possam contribuir com o seu contedo ou sintam-se responsveis pela
estratgia de segurana adotada na empresa.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

41 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
Correto. No confunda! Uma coisa o Documento da Poltica de
Segurana da Informao estar disponvel a todos os funcionrios. Outra
coisa so os documentos requeridos pelo SGSI, que, por conter detalhes
sobre avaliao de riscos, etc, possui contedo sensvel. Tais documentos devem
ser protegidos e controlados. (item 4.3.2)

67 Entre as etapas de monitorao de um SGSI, est prevista a construo


de um texto com todos os objetivos de controle e seus respectivos controles.
Essas informaes faro parte da declarao de aplicabilidade que deve ser
submetida autorizao e a posterior aprovao pela diretoria da empresa.

Errado! Objetivos de controle e controles devem ser selecionados na


Norma, para ento preparar-se a Declarao de Aplicabilidade. Tal etapa, na
verdade, est contida em estabelecer o SGSI.

(CESPE TELEBRAS Especialista Analista de TI 2013) Com


referncia norma NBR ISO/IEC 27001:2006, julgue os itens a seguir.
68 O procedimento documentado que atenda aos requisitos do SGSI para
ao corretiva deve definir requisitos para determinar as causas de no
conformidades.

Correto. Alm de identificar no-conformidades, avaliar a


necessidade de aes para assegurar que aquelas no-conformidades
no ocorram novamente, determinar e implementar as aes corretivas
necessrias, registrar os resultados das aes executadas e analisar
criticamente as aes corretivas executadas. (item 8.2).
01624136451

69 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema


de gesto de segurana da informao), para se alcanar a melhoria contnua,
necessrio executar as aes corretivas e preventivas, com base nos resultados
da auditoria interna, da anlise crtica realizada pela direo ou de outra
informao pertinente.

Errado! Essas aes so executadas na fase manter e melhorar o SGSI.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

42 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
70 Definir requisitos para registrar os resultados de aes executadas
uma forma de preveno realizada com o objetivo de eliminar as causas de no
conformidades potenciais alinhadas aos requisitos do SGSI.

Correto. Item 8.2 da norma. A organizao deve executar aes para


eliminar as causas de no-conformidades com os requisitos do SGSI, de forma a
evitar a sua repetio. O procedimento documentado para ao corretiva deve
definir requisitos para identificar no-conformidades e registrar os resultados
das aes executadas.

71 (CESPE CGE/PI Auditor Governamental 2015) O objetivo


principal da norma ISO/IEC 27002 implantar um sistema de gesto da
segurana da informao (SGSI).

Errado! O objetivo da ISO 27002 um cdigo de prtica para a gesto da


segurana da informao. Quem implementa um SGSI a ISO 27001.

CONSIDERAES FINAIS

Pois bem amigos, encerramos nosso curso!


As normas so matrias essencialmente tericas, e no h muita manobra
didtica para tornar o assunto mais trivial e intuitivo. Por isso, sigo pelo
caminho de mostrar a metodologia de cobrana. Entendendo o que eu chamo de
esprito das normas, voc capaz de olhar para uma questo e, mesmo sem
ter decorado todo o texto, percebe que possvel responder acertadamente
usando o bom senso.
01624136451

Mesmo assim, recomendo a leitura dos textos, pelo menos uma vez.
Bons estudos, estudem as outras matrias e que venha o edital!

Victor Dalton

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

43 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
LISTA DE EXERCCIOS

(CESPE ANATEL Analista Desenvolvimento de Sistemas de


Informao 2014) A norma NBR ISO/IEC 27001:2006 foi elaborada para
prover um modelo de estabelecimento, implementao, operao, monitorao,
anlise crtica, manuteno e melhoria do sistema de gesto de sistemas de
informao (SGSI). Com relao a esse assunto, julgue os itens que se seguem.

1 Devido a questes econmicas, a norma em questo no cobre empresas


de pequeno porte.

2 A referida norma adota o modelo de melhoria contnua PDCA, que


apresenta as seguintes etapas: PLAN estabelecer o SGSI; DO implementar
e operar o SGSI; CHECK monitorar e analisar criticamente o SGSI; e ACT
manter e melhorar o SGSI.

(CESPE ANATEL Analista Infraestrutura de TI 2014) Julgue os


itens a seguir a respeito das normas ISO/IEC 27001 e ISO/IEC 27002 e do
sistema de gesto de segurana da informao (SGSI).
3 A norma ISO 27002 recomenda que as chaves criptogrficas usadas para
as assinaturas digitais de documentos eletrnicos sejam idnticas quelas
usadas para a criptografia desses documentos: a padronizao das chaves
garante maior segurana aos documentos.

4 Na norma ISO 27001, recomenda-se que, no contexto da ao


preventiva, a organizao identifique tanto alteraes nos riscos quanto os
consequentes requisitos de aes preventivas, especialmente no que diz respeito
aos riscos que tenham sofrido alteraes significativas.
01624136451

(CESPE SUFRAMA Analista Tecnologia da Informao 2014)


Nesse sentido, considere que a sigla SGSI, sempre que utilizada, se refere a
sistema de gesto de segurana da informao.
5 A fim de se alcanar a melhoria contnua na implementao e na
operao do SGSI, o Do (fazer) do PDCA executa aes corretivas e preventivas
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

44 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
a partir dos resultados da auditoria interna do SGSI e da anlise crtica pela
direo ou de outra informao pertinente.

6 A identificao do que no est de acordo e o registro dos resultados das


aes executadas so procedimentos que visam eliminar as causas de no
conformidade com os requisitos do SGSI.

(CESPE TJ/SE Analista Anlise de Sistemas 2014) Com base


nas normas ABNT NBR ISO/IEC n. 27001:2006 e n. 27002:2005, julgue os
itens a seguir, relativos gesto de segurana da informao.
7 Para alcanar os objetivos de controle identificados, faz parte da etapa
Do do modelo PDCA implementar o plano de tratamento de riscos que inclua as
consideraes de financiamentos e a atribuio de papis e responsabilidades.

8 Para evitar o vazamento de informaes corporativas, que gera prejuzos


enormes s organizaes, a utilizao de equipamentos fora das dependncias
da organizao requer obrigatoriamente a autorizao prvia da administrao.

9 De acordo com a norma ISO/IEC n. 27002:2005, permitido que o


administrador de sistemas suprima ou desative o registro (log) de suas prprias
atividades em caso de falta de espao em disco.

01624136451

10 No modelo PDCA (Plan, Do, Check, Act) aplicado aos processos do


SGSI, uma anlise de riscos deve ser realizada somente quando houver
mudana nos requisitos de segurana ou quando forem identificadas ameaas
que coloquem em risco a segurana da organizao.

(CESPE SERPRO Analista Administrao de Servios de


Tecnologia da Informao 2013) No que concerne norma ABNT NBR
ISO/IEC 27002, julgue o item seguinte.
11 O documento de poltica de segurana da informao declara o
comprometimento da alta direo da organizao e descreve os requisitos de
conscientizao e treinamento em segurana da informao.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

45 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
(CESPE Banco da Amaznia Tcnico Cientfico Segurana da
Informao 2012) Com base nos aspectos gerais da norma ABNT NBR
ISO/IEC 27002, que estabelece o cdigo de prtica para a gesto da segurana
da informao, julgue os itens que se seguem.
12 A conformidade no um dos contedos da referida norma, pois no
visa obteno de certificao, j que essa incumbncia fica a cargo de
empresas privadas responsveis pala anlise de conformidade da prtica de
empresas s prticas recomendadas tanto pela NBR 27002 quanto pela NBR
27001.

13 Uma anlise de riscos deve ser realizada periodicamente em um


ambiente computacional, principalmente quando houver a mudana nos
requisitos de segurana ou quando surgirem novas ameaas ou vulnerabilidades
que ponham em risco a segurana.
14 Requisitos de segurana da informao podem ser obtidos a partir da
anlise/avaliao dos riscos da organizao com base nos seus objetivos
estratgicos; a partir da legislao vigente; e, finalmente, a partir dos requisitos
do negcio para o processamento da informao que a organizao desenvolve
para realizar suas operaes.

15 A proteo de dados e privacidade de informaes pessoais, de


registros organizacionais e os direitos de propriedade intelectual muitas vezes
so vistos erroneamente como controles essenciais para uma organizao.

16 A norma em apreo estabelece diretrizes e princpios para a segurana


da informao, no entanto a implementao de seus objetivos de controles e dos
controles no garante o atendimento aos requisitos de segurana da informao,
pois a implementao de responsabilidade do SGSI.
01624136451

(CESPE Banco da Amaznia Tcnico Cientfico Segurana da


Informao 2012) Com relao a contedo prtico, objetivos de controles e
diretrizes para implementao recomendados pela norma ABNT NBR ISO/IEC
27002, julgue os itens.
17 Cabe exclusivamente aos gestores e administradores a coordenao da
segurana da informao dentro de uma organizao.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

46 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
18 A responsabilidade por um ativo de informao na organizao deve ser
atribuda s equipes de suporte estabelecidas e nomeadas. De acordo com a
norma vigente, veda-se, por exemplo, responsabilizar um usurio por um ativo
inventariado.

19 Em gesto da segurana da informao, s devem ser classificadas as


informaes que possuam algum valor para a organizao, ou seja, aquelas cuja
divulgao traga algum malefcio financeiro ou de imagem a qualquer indivduo
que nela trabalhe.

20 Uma informao deve ser classificada de acordo com os seus requisitos


de confidencialidade, integridade e disponibilidade, no havendo, nessa norma,
indicao de parmetros para outros tipos de requisitos a serem considerados.

21 A ao de se evitar um risco, de modo a eliminar a ocorrncia de suas


consequncias e, naturalmente, a realizao da atividade que o ocasionaria, no
faz parte do tratamento do risco, pois o tratamento refere-se ao risco que se
toma, no ao que se evita.

22 As consequncias da violao da poltica de segurana devem ser


includas em um plano de tratamento de riscos, mas no devem fazer parte do
documento da poltica em si.

23 Segundo a citada norma, convm que a poltica de segurana seja


analisada crtica e periodicamente, luz do resultado do desempenho do
processo e de acordo com a poltica de segurana da informao.
01624136451

24 A norma em questo recomenda que sejam includas, na poltica de


segurana da informao, declaraes que esclaream termos e condies de
trabalho de recursos humanos, incluindo at responsabilidades que se estendam
para fora das dependncias da organizao e fora dos horrios normais de
trabalho.

25 Recuperao de erros, procedimentos de reinicializao e planos de


contingncia, apesar de serem bem especficos ao processo de aceitao de
sistemas, devem ser considerados para minimizar os riscos de falhas de
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

47 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
sistemas, no gerenciamento de operaes e comunicaes preconizado pela
norma 27002.

26 A norma referida recomenda que se realizem treinamento, educao e


conscientizao de pessoas apenas antes da contratao, para assegurar que os
novos recursos humanos saibam agir com segurana diante das atividades a
serem desenvolvidas por eles.

(CESPE Banco Central do Brasil Analista rea 2 2013) Julgue


os itens a seguir com base na norma NBR ISO/IEC n. 27.002 da ABNT.
27 As informaes operacionais includas no ambiente antes dos testes de
intruso devem ser nele mantidas aps o teste.

28 A utilizao de VPN (virtual private network) entre o usurio e o ponto


de acesso que difunde o sinal em uma rede wireless garante confidencialidade e
integridade ao trfego da rede.

(CESPE Ministrio das Comunicaes Atividade Tcnica de


Complexidade Gerencial Especialidade 25 2013) A respeito da norma
NBR ISO/IEC 27.002:2005, julgue os itens a seguir.
29 De acordo com a referida norma, todos os itens de controle, sees e
etapas so aplicveis apenas a organizaes de grande envergadura.

30 A norma NBR citada acima prev onze sees sobre o tratamento de


riscos de segurana da informao.
01624136451

(CESPE ANTT Analista Administrativo Infraestrutura de TI


2013) Julgue os itens subsequentes, a respeito da norma NBR ISO/IEC 27002.
31 Na implementao de segurana fsica e segurana do ambiente em
uma organizao, devem ser definidas reas seguras para prevenir acessos
fsicos no autorizados, danos e interferncias com as instalaes e com as
informaes da organizao. Deve ainda ser implantada uma rea de recepo,
de modo que o acesso a locais definidos como rea seguras fiquem restritos
somente ao pessoal da organizao.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

48 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
32 Na gesto dos ativos, cujo objetivo principal manter a proteo
adequada dos ativos da organizao, importante que os principais ativos de
informao sejam inventariados e atribudos a um proprietrio responsvel que,
por questo de segurana, no pode delegar a implementao dos controles.

33 De acordo com a norma em questo, as senhas devem ser modificadas


no primeiro acesso ao sistema e devem ser includas em processos automticos
de acesso ao sistema, como os que utilizam macro e tokens.

34 Na aplicao de controle de segurana, funes e reas de


responsabilidade devem ser realizadas de forma conjunta, pelas mesmas
pessoas para reduzir as oportunidades de modificao.

(CESPE Banco da Amaznia Tcnico Cientfico Segurana da


Informao 2012) No que se refere aos objetivos de controle, contidos no
Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes.
35 Conforme prev a norma em apreo, em acordo com terceiros referente
aquisio de produtos de TI, dispensa-se o controle do SGSI no que diz
respeito a segurana da informao.

36 A violao da poltica de segurana da informao deve ser apurada por


meio da aplicao de processo disciplinar formal: o que estabelece o controle
de processo disciplinar contido no grupo de controle de segurana em recursos
humanos.

37 A integridade de informaes disponibilizadas em sistemas acessveis


publicamente no precisa ser alvo da poltica de segurana, visto que so, por
natureza, informaes no confidenciais, ou seja, pblicas.
01624136451

38 Entre os controles referentes ao gerenciamento de acesso do usurio,


tendo-se em vista assegurar o acesso autorizado e prevenir o no autorizado, o
anexo em questo estabelece que a anlise crtica de direitos de acesso dos
usurios deve ser feita por meio de um processo formal e conduzida em
intervalos regulares.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

49 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
39 A referida norma explcita ao afirmar que, em razo de seu carter
privativo, as polticas e procedimentos de segurana de uma organizao no
podem ser expostos opinio de outros, o que impossibilita contatos com
grupos de interesses especiais ou ainda a promoo de fruns especializados de
segurana da informao e associaes profissionais.

(CESPE Polcia Federal Perito rea 3 2013) Com relao


norma ISO/IEC 27001:2006, julgue os itens a seguir.
40 De acordo com a norma ISO/IEC 27001:2006, a formulao de um
plano de tratamento de riscos que identifique a ao apropriada, os recursos, as
responsabilidades e as prioridades para a gesto de riscos est relacionada
etapa Do do ciclo PDCA.

41 Segundo a norma ISO/IEC 27001:2006, a organizao deve elaborar


uma declarao de aplicabilidade, detalhando os ativos dentro do escopo do
SGSI e os seus proprietrios, bem como as possveis ameaas aplicadas a tais
ativos e as vulnerabilidades por elas exploradas.

42 Segundo a norma ISO/IEC 27001:2006, no estabelecimento do Sistema


de Gesto da Segurana da Informao (SGSI), devem-se identificar e avaliar as
opes para o tratamento de riscos, cujas aes englobam a aceitao
consciente dos riscos (desde que satisfaam s polticas estabelecidas dentro da
organizao), bem como a possibilidade de transferncia dos riscos para outras
partes, como seguradoras e fornecedores.

(CESPE TCE/ES Auditor de Controle Externo Tecnologia da


Informao 2012) Segundo as normas NBR ISO/IEC 27001 e 27002, julgue
os itens a seguir, a respeito de gesto de segurana da informao.
01624136451

43 O gerenciamento de acesso do usurio plenamente implementado


pelos seguintes controles: registro de usurio, gerenciamento de privilgios e
gerenciamento de senha do usurio.

44 Uma poltica de segurana da informao deve fornecer orientao e


apoio da direo para a segurana da informao, de acordo com os requisitos
do negcio e com as leis e regulamentaes relevantes. O documento da poltica
de segurana da informao necessita da aprovao da direo da organizao e

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

50 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
deve ser publicado e comunicado para todos os funcionrios e partes externas
relevantes, no devendo ser alterado a partir de ento.

45 Na NBR ISO/IEC 27001, so estabelecidos controles que regem o uso e


a configurao de cdigos mveis claramente autorizados, em concordncia com
a poltica de segurana da informao.

(CESPE SERPRO Analista


Tecnologia da Informao 2013) A
27001, julgue os itens a seguir. Nesse
sempre que utilizada, refere-se a sistema

Administrao de Servios de
respeito da norma ABNT NBR ISO/IEC
sentido, considere que a sigla SGSI,
gesto de segurana da informao.

46 Entre os documentos que fazem parte da documentao de um SGSI,


esto includas a declarao da poltica do SGSI, o escopo do SGSI e o plano de
tratamento de risco.
47 Na etapa de melhoria do SGSI, ocorrem as auditorias internas em
intervalos planejados.

48 Para se estabelecer um SGSI, necessrio definir a estratgia de


avaliao dos riscos, que importante para a preparao da declarao de
aplicabilidade.

49 Para assegurar que o SGSI continua conveniente com a realidade da


organizao, a direo deve analis-lo em intervalos planejados.

50 A execuo de procedimentos e controles para identificar tentativas e


falhas de segurana e incidentes que foram bem-sucedidos faz parte da etapa de
implementao e operao do SGSI.
01624136451

(CESPE SERPRO Analista Negcios em Tecnologia da


Informao 2013) Acerca da segurana da informao, julgue os itens
subsequentes.
51 Na elaborao do plano de continuidade do negcio de uma
organizao, devem ser considerados no apenas os procedimentos de
recuperao das atividades, mas tambm os procedimentos de emergncia aps
a ocorrncia de um incidente.
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

51 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
52 Pode ser identificada uma equivalncia entre o modelo de gesto PDCA
(plan-do-check-act) e a estrutura proposta pela norma ISO-IEC 27001. A etapa
do (fazer) corresponde a manter e melhorar os sistemas de gesto de segurana
da informao (SGSI), ou seja, devem-se executar as aes corretivas e
preventivas necessrias para alcanar a melhoria contnua do SGSI.

53 Considere que uma mensagem de correio eletrnico, supostamente


vinda do provedor de Internet, sob a alegao de que o computador que recebia
a mensagem estava infectado por um vrus, sugeria que fosse instalada uma
ferramenta de desinfeco. Considere ainda que na verdade, a ferramenta
oferecida era um programa malicioso que, aps a instalao, tornou os dados
pessoais do usurio acessveis ao remetente da mensagem. Nessa situao
hipottica, correto afirmar que houve um ataque de engenharia social.

54 Os rtulos fsicos so a forma mais usada para definir a classificao de


uma informao, mas so substitudos, em algumas situaes, por
procedimentos e metadados.

55 A poltica de segurana da informao (PSI) deve buscar o


comprometimento integral de toda a organizao, portanto o tratamento das
consequncias advindas da violao das normas de segurana no de sua
competncia.

(CESPE Ministrio das Comunicaes Atividade Tcnica de


Complexidade Gerencial Especialidade 25 2013) Em relao aos
conceitos bsicos da NBR ISO/IEC 27001:2006, julgue os itens subsecutivos.
01624136451

56 A norma em tela prev que o SGSI inclua uma estrutura para definir
objetivos e estabelea direcionamento global para aes relativas segurana
da informao.

57 De acordo com a referida norma, os riscos so aceitveis, desde que


satisfaam claramente s polticas da organizao e aos critrios de aceitao de
riscos.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

52 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
58 O processo do Sistema de Gesto de Segurana da Informao (SGSI),
estabelecido pela norma NBR ISO/IEC 27001:2006, se baseia no modelo PDCA
(plan do check act).

(CESPE ANTT Analista Administrativo Infraestrutura de TI


2013) Julgue os itens a seguir, acerca da norma NBR ISO/IEC 27001:2006.
Nesse sentido, considere que a sigla SGSI, sempre que utilizada, refere-se a
sistema de gesto de segurana da informao.
59 No estabelecimento do SGSI, a organizao deve preparar uma
declarao de aplicabilidade que inclua os objetivos de controle e controles
selecionados e as razes para sua seleo e os objetivos de controle e controles
atualmente implementados.

60 A avaliao de riscos, apesar de envolver a comparao do risco


estimado com critrios de risco predefinidos para determinar a importncia do
risco em relao segurana da informao, no faz parte da documentao do
SGSI.

61 Na fase check, do modelo PDCA (plan, do, check, act), ocorre, alm da
monitorao e anlise crtica do SGSI, a medio do desempenho de um
processo frente poltica, aos objetivos e experincia prtica do SGSI.

62 Um SGSI projetado para assegurar a seleo de controles de


segurana adequados para proteger os ativos de informao e propiciar
confiana s partes envolvidas.
01624136451

63 A organizao deve prover os recursos necessrios tanto no


estabelecimento quanto na manuteno do SGSI, para assegurar o apoio dos
procedimentos de segurana da informao aos requisitos de negcio, bem
como o tratamento destinado aos requisitos legais e regulamentares e s
obrigaes contratuais de segurana da informao, conforme a necessidade
exigida.

(CESPE SERPRO Analista Suporte Tcnico 2013) 64 De acordo


com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e
Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

53 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
auditoria. Todas essas etapas so contempladas nas fases Planejar (Plan), Fazer
(Do), Checar (Check) e Agir (Act).

(CESPE SERPRO Tcnico Operao de Redes 2013) A adoo


de um sistema de gesto de segurana da informao (SGSI) deve ser uma
deciso estratgica para uma organizao. Por sua vez, a forma de implantao
do SGSI influenciada por necessidades e objetivos, requisitos de segurana,
processos empregados, e tamanho e estrutura da organizao. Acerca desse
assunto e com base na especificao de segurana da informao descrita na
norma ISO 27001, julgue os itens a seguir.
65 Na fase de implementao e operao do SGSI, a organizao deve
executar procedimentos para prontamente determinar se as aes tomadas para
solucionar uma violao de segurana foram eficazes, assim como implantar os
controles selecionados para atender aos objetivos de controle.

66 No conveniente que os documentos requeridos pelo SGSI sejam


distribudos para todos os funcionrios da organizao, mesmo que estes
possam contribuir com o seu contedo ou sintam-se responsveis pela
estratgia de segurana adotada na empresa.

67 Entre as etapas de monitorao de um SGSI, est prevista a construo


de um texto com todos os objetivos de controle e seus respectivos controles.
Essas informaes faro parte da declarao de aplicabilidade que deve ser
submetida autorizao e a posterior aprovao pela diretoria da empresa.

(CESPE TELEBRAS Especialista Analista de TI 2013) Com


referncia norma NBR ISO/IEC 27001:2006, julgue os itens a seguir.
01624136451

68 O procedimento documentado que atenda aos requisitos do SGSI para


ao corretiva deve definir requisitos para determinar as causas de no
conformidades.

69 No do (fazer) do modelo PDCA aplicado aos processos do SGSI (sistema


de gesto de segurana da informao), para se alcanar a melhoria contnua,
necessrio executar as aes corretivas e preventivas, com base nos resultados
da auditoria interna, da anlise crtica realizada pela direo ou de outra
informao pertinente.

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

54 de 55

Tecnologia da Informao para MPOG


Analista de TI PGPE
Prof Victor Dalton Aula 09
70 Definir requisitos para registrar os resultados de aes executadas
uma forma de preveno realizada com o objetivo de eliminar as causas de no
conformidades potenciais alinhadas aos requisitos do SGSI.

71 (CESPE CGE/PI Auditor Governamental 2015) O objetivo


principal da norma ISO/IEC 27002 implantar um sistema de gesto da
segurana da informao (SGSI).

GABARITO CESPE
1.e
11.c
21.e
31.e
41.e
51.c
61.c
71.e

2.c
12.e
22.e
32.e
42.c
52.e
62.c

3.e
13.c
23.c
33.e
43.e
53.c
63.c

4.c
14.c
24.c
34.e
44.e
54.c
64.c

5.e
15.e
25.c
35.e
45.c
55.e
65.c

6.c
16.e
26.e
36.c
46.c
56.c
66.c

7.c
17.e
27.e
37.e
47.e
57.c
67.e

8.e
18.e
28.c
38.c
48.e
68.c
68.c

01624136451

Prof. Victor Dalton

www.estrategiaconcursos.com.br
01624136451 - Luis

55 de 55

9.e
19.e
29.e
39.e
49.c
59.c
69.e

10.e
20.e
30.e
40.c
50.e
60.e
70.c