Escolar Documentos
Profissional Documentos
Cultura Documentos
3.
4.
Introduo........................................................................................................................... 8
Objetivo............................................................................................................................. 13
7.
7.1.2.
7.1.3.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 1 de 67
Controle de documentos........................................................................................... 27
7.2.2.
8.
10.2.
Ao corretiva ........................................................................................................... 35
11.2.
Ao preventiva......................................................................................................... 35
Caros alunos,
Para iniciarmos nossa aula de demonstrao, falarei um pouco sobre mim. Sou
Servidor Pblico Federal a mais de vinte anos, onde desempenhei vrias funes
relacionadas rea de TI. Nos ltimos seis anos, trabalho na administrao, controle e
segurana de usurios lotados em sessenta e quatro Unidades Gestoras sediadas nos
estados do Rio de Janeiro e Esprito Santo, totalizando mais de cinco mil usurios de
diversos sistemas utilizados pela esfera federal, tais como: SIAFI, SIAFI Web, SIAFI Gerencial,
SIAFI Educacional, SIASG, SIASG Treino, entre outros. Minha formao acadmica teve incio
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 2 de 67
1. Apresentao do curso.
Nosso curso ter como foco atender a necessidade do concurseiro que ir fazer a
prova do MPOG (Analista - Tecnologia da Informao) e precisa ter conhecimento sobre o
contedo referente aos tpicos Gesto de Segurana da Informao e Normas de segurana
da informao, conforme abaixo descrito.
Gesto de segurana da informao. 6.1. Poltica de segurana (processos de
definio, implantao e gesto de polticas de segurana e auditoria). 6.2. Classificao da
informao. 6.3. Gesto de risco em segurana da informao (planejamento, identificao,
anlise e tratamento de riscos de segurana). 6.4. Controle de acesso. 6.5. Segurana de
servios terceirizados. 6.6. Gesto de continuidade do negcio (anlise de impacto no
negcio, estratgia de continuidade, Plano de administrao de crises, plano de
continuidade operacional, plano de recuperao de desastres, plano de testes).
Normas de segurana da informao. 7.1. Normas ABNT: NBR 27001:2005
(Sistema de Gesto de Segurana da Informao), NBR 27002:2005 (Cdigo de Boas Prticas
em Segurana da Informao), NBR 27005:2005 (Gesto de Riscos de Segurana), NBR
15999:2007 e ABNT NBR 15999-2:2008 (Gesto de Continuidade do Negcio). 7.2. Normas
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 3 de 67
1.1. A Banca.
A banca ser o Cespe/UnB que tem grande experincia em provas de concursos
pblicos que tratem das disciplinas de TI. Isso quer dizer que temos uma quantidade bem
generosa de questes para trabalharmos em nosso curso.
O maior obstculo est nas questes de Certo/Errado, onde uma Errada anula uma
Certa, mas nada que seja um bicho de sete cabeas.
S pra lembrar, o edital ainda no foi publicado e a banca do concurso anterior foi a
FUNRIO, mas fontes do MPOG informam que o Cespe organizar o prximo concurso.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 4 de 67
Aula
Aula
Demonstrativa
24/02/2015
Aula 5
24/02/2015
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 5 de 67
Aula 6
10/03/2015
Aula 7
10/03/2015
Aula 8
17/03/2015
Aula 9
24/03/2015
Aula 10
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 6 de 67
3. Informaes iniciais
Antes de adentrarmos na parte tcnica deste assunto, devemos conhecer algumas
informaes, que julgo essenciais, principalmente para quem est a pouco tempo
estudando para concursos na rea de TI. Ento vamos s informaes.
ISO 27001 o padro e a referncia Internacional para a gesto da Segurana da
Informao.
A sua adoo serve para que as organizaes adotem um modelo adequado de
estabelecimento, implementao, operao, monitorizao, reviso e gesto de um Sistema
de Gesto de Segurana da Informao (SGSI).
Este sistema de Gesto de Segurana da Informao um modelo holstico de
abordagem Segurana da Informao e independente de marcas e fabricantes
tecnolgicos.
holstico porque acaba por ser uma abordagem de 360 Segurana da
Informao, tratando de mltiplos temas relacionados ao assunto.
independente de fabricantes porque se destina ao estabelecimento de processos
e procedimentos que depois podem ser materializados realidade de cada organizao de
forma diferente e com a especificidade de cada ambiente tecnolgico e organizacional.
Depois dessa ambientao, vamos ao que interessa!
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 7 de 67
4. Introduo
4.1. Abordagem de processo
de:
Estabelecer e Implementar;
Operar
Monitorar
Analisar criticamente
Manter; e
Melhorar.
OBSERVAO IMPORTANTE:
Segue um macete para ajudar a decorar os processos: (Pode levar a srio, porque
isso pode te ajudar a resolver questes de prova).
EIOMAMM (E) Estabelecer, (I) Implementar e (O) Operar, (M) Monitorar e (A)
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 8 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 9 de 67
Gabarito: A
2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do
sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer)
equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do
SGSI.
( ) Certo
( ) Errado
Comentrio:
Observando a tabela acima podemos verificar que:
Do (fazer) quer dizer Implementar e operar a poltica, controles, processos e
procedimentos do SGSI.
A descrio mostrada na questo referente ao Act (agir), veja:
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 10 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 11 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 12 de 67
5. Objetivo
5.1. Aplicao
Tipo;
Tamanho; e
Natureza.
de aceitao de riscos.
Tipo;
Tamanho; e
Natureza.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 13 de 67
4. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre
que empregada, refere-se a sistema de gesto da segurana da informao
De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos
deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas
pessoas responsveis por eles.
( ) Certo ( ) Errado
Comentrio:
Veja o item Aplicao
Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de
aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram
aceitos pelas pessoas responsveis precisam ser fornecidas.
Gabarito: CERTO
6. Termos e definies
como
- leonardo.rangel@tiparaconcursos.net
Pgina 14 de 67
estimar o risco.
modificar um risco.
5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo
correta acerca de definies relacionadas gesto de segurana da informao.
a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de
gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo
estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e
melhoramento da segurana da informao.
b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de
risco predefinidos, a fim de determinar a importncia do risco.
c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre
de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 15 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 16 de 67
6. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade
a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
c) a possvel violao da poltica de segurana da informao ou falha de controles.
d) a propriedade de salvaguarda da exatido e completeza de ativos.
e) qualquer coisa que tenha valor para a organizao.
Comentrio:
Esta questo aborda algumas definies essenciais para este contexto.
As alternativas trazem as definies de:
Letra a) Disponibilidade: Propriedade de estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
Letra b) Confidencialidade: Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no autorizados.
Letra c) Evento: possvel violao da poltica de segurana da informao ou falha de
controles.
Letra d) Integridade: Propriedade de salvaguarda (Proteo concedida por uma autoridade)
da exatido e completeza (Algo que mantm a integridade preservada) de ativos.
Letra e) Ativo: Qualquer coisa que tenha valor para a organizao.
Gabarito: D
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 17 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 18 de 67
segurana da informao.
OBSERVAO IMPORTANTE:
Identificar os riscos:
1) Identificar os ativos dentro do escopo do SGSI e seus proprietrios.
OBSERVAO IMPORTANTE:
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 19 de 67
tratamento de riscos.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 20 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 21 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 22 de 67
responsabilidades.
Especificando como estas medidas devem ser usadas para avaliar a eficcia
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 23 de 67
desempenho do SGSI.
10. (FCC - 2012 - TJ/PE) A eficcia dos controles para verificar se os requisitos de segurana
da informao foram atendidos deve ser medida, no Sistema de Gesto de Segurana da
Informao (SGSI), nas fases
a) estabelecer e gerenciar o SGSI.
b) monitorar e analisar criticamente o SGSI.
c) planejar e implantar o SGSI.
d) implementar e operar o SGSI.
e) manter e melhorar o SGSI.
Comentrio:
Observe:
Que o objeto da questo : em qual fase deve ser medida a eficcia dos
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 24 de 67
Gabarito: B
11. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do
negcio, a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o
contexto estratgico de gesto de riscos da organizao no qual o estabelecimento e
manuteno do SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 25 de 67
Escopo;
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 26 de 67
Planejamento efetivo.
Registros requeridos; e
Declarao de Aplicabilidade.
OBSERVAES IMPORTANTES:
Tamanho da organizao;
gerenciado.
dos documentos;
- leonardo.rangel@tiparaconcursos.net
Pgina 27 de 67
identificveis;
Aplicar identificao adequada nos casos em que sejam retidos para qualquer
propsito.
SGSI.
Identificao;
Armazenamento;
Proteo;
Recuperao;
Tempo de reteno; e
Disposio de registros.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 28 de 67
12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo
conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.
Entre os documentos e registros cujo controle demandado pela ISO 27001, destacam-se
como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao
de risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros
de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros
registros, inclusive de no conformidade.
( ) Certo ( ) Errado
Comentrio:
Veja o item Requisitos de documentao - A documentao do SGSI deve incluir:
a) declaraes documentadas da poltica e objetivos do SGSI;
b) o escopo do SGSI;
c) procedimentos e controles que apoiam o SGSI;
d) uma descrio da metodologia de anlise/avaliao de riscos;
e) o relatrio de anlise/avaliao de riscos;
f) o plano de tratamento de riscos;
g) procedimentos documentados requeridos pela organizao para assegurar o
planejamento efetivo, a operao e o controle de seus processos de segurana de
informao e para descrever como medir a eficcia dos controles;
h) registros requeridos por esta Norma; e
i) a Declarao de Aplicabilidade.
So citados na norma como exemplos de registros: livros de visitantes, relatrios
de auditoria e formulrios de autorizao de acesso preenchidos.
Gabarito: CERTO
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 29 de 67
8. Responsabilidades da direo
Estabelecimento;
Implementao;
Operao;
Monitoramento;
Anlise crtica;
Manuteno; e
Melhoria do SGSI
informao;
segurana de informao
Estabelecer;
Implementar;
Operar;
Monitorar;
Analisar criticamente;
aceitveis;
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 30 de 67
melhorar um SGSI;
contratuais;
necessidades;
qualificaes.
A organizao:
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 31 de 67
pertinentes;
Auditoria;
Escopo;
Frequncia; e
Mtodos.
As responsabilidades;
Os requisitos para:
o
Planejamento;
Execuo de auditorias;
Relatar os resultados; e
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 32 de 67
A direo deve analisar criticamente o SGSI da organizao pelo menos uma vez
Contnua pertinncia;
Adequao; e
Eficcia.
a eficcia do SGSI;
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 33 de 67
Vulnerabilidades/ameaas
no
contempladas
adequadamente
nas
direo;
Atualizao da (o):
Anlise/avaliao de riscos; e
informao:
o
impactar no SGSI.
o
Requisitos de negcio;
Obrigaes contratuais; e
Necessidade de recursos.
11.Melhoria do SGSI
Pgina 34 de 67
Resultados de auditorias;
11.1. Ao corretiva
conformidades:
Identificar no-conformidades;
repitam;
11.2. Ao preventiva
A organizao deve:
significativamente alterados.
conformidades;
OBSERVAO IMPORTANTE:
OBSERVAES ADICIONAIS:
Vamos comear pela parte ruim. Agora vamos adentrar em uma parte que
considero um mal necessrio, que so os anexos da ISO 27001. Pensei at
em no coloca-los em nossa aula, mas nunca se sabe completamente o
que o examinador est pensando ou julga importante, vai que o cidado
coloca uma questo dessas.
Como todo assunto tem tambm pelo menos uma parte boa. Como
podem observar pela incidncia de questes, esta parte ainda no foi
cobrada em provas da FCC.
- leonardo.rangel@tiparaconcursos.net
Pgina 36 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 37 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 38 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 39 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 40 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 41 de 67
Gabarito: D
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 42 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 43 de 67
Gabarito: ERRADO
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 44 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 45 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 46 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 47 de 67
Gabarito: ERRADO
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 48 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 49 de 67
16. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de
Recursos, a organizao deve determinar e prover os recursos necessrios para
a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade
podem causar aos ativos.
c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e
fornecedores.
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um SGSI.
e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.
Comentrio:
Observe o tpico acima.
e melhorar um SGSI;
contratuais;
Gabarito: D
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 50 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 51 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 52 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 53 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 54 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 55 de 67
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 56 de 67
17. (CESPE - 2013 - SERPRO) Com base nas normas de segurana da informao, julgue o
item seguinte.
De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas
essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir
(Act).
( ) Certo ( ) Errado
Comentrio:
Gesto de segurana:
Gabarito: CERTO
- leonardo.rangel@tiparaconcursos.net
Pgina 57 de 67
Responsabilidades da direo;
Melhoria do SGSI.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 58 de 67
18. (CESPE - 2012 -TRE/RJ) A poltica de segurana da informao integra o SGSI e a diretriz
para a implementao dessa poltica detalhada na referida norma.
( ) Certo ( ) Errado
Comentrio:
A ISO 27001 possui os requisitos para aplicao do SGSI. As diretrizes so definidas pela ISO
27002. Portanto a questo est errada.
Gabarito: ERRADO
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 59 de 67
19. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o
item subsequente.
A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 60 de 67
2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do
sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer)
equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do
SGSI.
( ) Certo
( ) Errado
3. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 61 de 67
4. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre
que empregada, refere-se a sistema de gesto da segurana da informao
De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos
deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas
pessoas responsveis por eles.
( ) Certo ( ) Errado
5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo
correta acerca de definies relacionadas gesto de segurana da informao.
a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de
gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo
estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e
melhoramento da segurana da informao.
b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de
risco predefinidos, a fim de determinar a importncia do risco.
c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre
de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e
ameaar a segurana da informao.
d) O incidente de segurana da informao consiste em um incidente que, caso seja
identificado em um estado de sistema, servio ou rede, indica a ocorrncia de uma possvel
violao da poltica de segurana da informao, bem como de uma falha de controles ou
de uma situao previamente desconhecida que possa ser relevante segurana da
informao.
e) Confidencialidade corresponde propriedade de classificar uma informao sigilosa
como confidencial.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 62 de 67
8. (FCC - 2013 - TRT - 18 Regio/GO) A Norma NBR ISO/IEC 27001:2006, na seo que trata
do estabelecimento e gerenciamento do SGSI, orienta que a organizao deve definir uma
poltica do SGSI nos termos das caractersticas do negcio, sua localizao, ativos e
tecnologia que observe as caractersticas listadas abaixo, EXCETO:
a) obtenha a autorizao dos stakeholders (partes interessadas).
b) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e
princpios para aes relacionadas com a segurana da informao.
c) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana
contratuais.
d) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o
estabelecimento e manuteno do SGSI iro ocorrer.
e) estabelea critrios em relao aos quais os riscos sero avaliados.
- leonardo.rangel@tiparaconcursos.net
Pgina 63 de 67
10. (FCC - 2012 - TJ/PE) A eficcia dos controles para verificar se os requisitos de segurana
da informao foram atendidos deve ser medida, no Sistema de Gesto de Segurana da
Informao (SGSI), nas fases
a) estabelecer e gerenciar o SGSI.
b) monitorar e analisar criticamente o SGSI.
c) planejar e implantar o SGSI.
d) implementar e operar o SGSI.
e) manter e melhorar o SGSI.
11. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do negcio,
a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o contexto
estratgico de gesto de riscos da organizao no qual o estabelecimento e manuteno do
SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
c) II, apenas.
d) III, apenas.
e) I, II e III.
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 64 de 67
12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo
conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.
Entre os documentos e registros cujo controle demandado pela ISO 27001, destacam-se
como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao de
risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros de
visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros
registros, inclusive de no conformidade.
( ) Certo ( ) Errado
13. (CESPE - 2013 - TRE/MS) Para proteger uma rea que abriga recursos de processamento
da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou
uma porta com controle de acesso por carto, de modo a que somente os colaboradores
previamente autorizados possam acessar esse ambiente.
Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada pelo
rgo pblico associa-se
a) validao de dados de sada.
b) ao controle de vulnerabilidades.
c) ao controle contra cdigos mveis.
d) ao controle de permetro de segurana fsica.
e) coordenao de segurana da informao.
14. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as normas
da ABNT, julgue os itens a seguir.
A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que
estabelece orientao para segurana dos cabeamentos de energia e de telecomunicaes,
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 65 de 67
15. (CESPE - 2013 CNJ) Acerca da gesto de segurana da informao, conforme as normas
da ABNT, julgue os itens a seguir.
De acordo com a norma ABNT NBR ISO/IEC 27001, informaes publicamente
disponibilizadas pela organizao no requerem mecanismos de proteo para a sua
visualizao e modificao.
( ) Certo ( ) Errado
16. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de
Recursos, a organizao deve determinar e prover os recursos necessrios para
a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade
podem causar aos ativos.
c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e
fornecedores.
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um SGSI.
e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.
17. (CESPE - 2013 - SERPRO) Com base nas normas de segurana da informao, julgue o
item seguinte.
De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas
essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir
(Act).
( ) Certo ( ) Errado
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 66 de 67
19. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o
item subsequente.
A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais
tecnolgicos que devem ser implementados nos servidores de arquivos e equipamentos de
conectividade, para controle de acesso de usurios maliciosos.
( ) Certo ( ) Errado
16.Gabarito.
1.
11. E
2.
ERRADO
12. CERTO
3.
13. D
4.
CERTO
14. ERRADO
5.
15. ERRADO
6.
16. D
7.
ERRADO
17. CERTO
8.
18. ERRADO
9.
ERRADO
19. ERRADO
10. B
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 67 de 67