Guia de preparação

Edição 202101
Copyright © EXIN Holding B.V. 2021. All rights reserved.
EXIN® is a registered trademark.

No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 2

27001 (ISFS.PR)
Conteúdo

1. Visão geral 4
2. Requisitos do exame 7
3. Lista de conceitos básicos 10
4. Literatura 13

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 3

27001 (ISFS.PR)
1. Visão geral

EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR)

Escopo
A EXIN Information Security Foundation based on ISO/IEC 27001 é uma certificação que valida o
conhecimento de um profissional sobre:
• Informação e segurança: o conceito, o valor, a importância e a confiabilidade da
informação.
• Ameaças e riscos: os conceitos de ameaça e risco e a relação com a confiabilidade da
informação.
• Abordagem e organização: a política de segurança e a organização de segurança,
incluindo os componentes da organização de segurança e a gestão de incidentes (de
segurança).
• Medidas: a importância das medidas de segurança, incluindo as medidas físicas,
técnicas e organizacionais.
• Legislação e regulamentações: a importância e o impacto da legislação e das
regulamentações.

Resumo
A segurança da informação é a proteção da informação contra uma grande variedade de
ameaças, a fim de assegurar a continuidade de negócios, minimizar o risco de negócios e
maximizar o retorno sobre o investimento (ROI) e as oportunidades de negócios.

A segurança da informação vem ganhando importância no mundo. A globalização da

economia conduz a uma troca de informações cada vez maior entre as organizações (seus
funcionários, clientes e fornecedores) e a uma explosão no uso de computadores e
equipamentos de informática em rede.

A norma internacional para gestão de segurança da informação ISO/IEC 27001, amplamente

respeitada e citada, fornece uma estrutura para a organização e gestão de um programa de
segurança da informação. A implementação de um programa baseado nessa norma será
benéfica para uma organização em sua meta de satisfazer muitas das exigências enfrentadas
no complexo ambiente operacional atual. Um sólido conhecimento dess a norma é importante
para o desenvolvimento pessoal de todos os profissionais de segurança da informação.

Nos módulos EXIN Information Security Management, a seguinte definição é utilizada: a

segurança da informação lida com a definição, implementação, manutenção, conformidade e
avaliação de um conjunto coerente de controles (medidas) que protegem a disponibilidade,
integridade e confidencialidade do fornecimento de informações (manuais e automatizadas).

A EXIN Information Security Foundation based on ISO/IEC 27001 testa os conceitos básicos
da segurança da informação e suas relações. Um dos objetivos deste módulo é conscientizar
que a informação é valiosa e vulnerável, e aprender quais são as medidas necessárias para
proteger a informação.

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 4

27001 (ISFS.PR)
Contexto
A certificação EXIN Information Security Foundation based on ISO/IEC 27001 faz parte do
programa de qualificação EXIN Information Security Management based on ISO/IEC 27001.

Público-alvo
A certificação EXIN Information Security Foundation based on ISO/IEC 27001 se destina a todos
que processam informação em uma organização. O módulo é também indicado para donos de
pequenas empresas independentes para quem um certo conhecimento básico sobre segurança da
informação é necessário. Este módulo é um bom ponto de partida para novos profissionais de
segurança da informação.

Requisitos para a certificação

• Conclusão bem sucedida do exame EXIN Information Security Foundation based on
ISO/IEC 27001.

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 5

27001 (ISFS.PR)
Detalhes do exame
Tipo do exame: Questões de múltipla escolha
Número de questões: 40
Mínimo para aprovação: 65% (26/40 questões)
Com consulta: Não
Anotações: Não
Equipamentos eletrônicos permitidos: Não
Tempo designado para o exame: 60 minutos

As Regras e Regulamentos dos exames EXIN aplicam-se a este exame.

Nível Bloom
A certificação EXIN Information Security Foundation based on ISO/IEC 27001 testa os candidatos
nos Níveis Bloom 1 e 2 de acordo com a Taxonomia Revisada de Bloom:
• Nível Bloom 1: Lembrança – depende da recuperação de informações. Os candidatos
precisarão absorver, lembrar, reconhecer e recordar.
• Nível Bloom 2: Compreensão – um passo além da lembrança. O entendimento mostra que
os candidatos compreendem o que é apresentado e podem avaliar como o material de
aprendizagem pode ser aplicado em seu próprio ambiente. Este tipo de pergunta pretende
demonstrar que o candidato é capaz de organizar, comparar, interpretar e escolher a
descrição correta de fatos e ideias.

Treinamento

Horas de contato
A carga horária recomendada para este treinamento é de 14 horas. Isto inclui trabalhos em grupo,
preparação para o exame e pausas curtas. Esta carga horária não inclui pausas para almoço,
trabalhos extra aula e o exame.

Indicação de tempo de estudo

56 horas (2 ECTS), dependendo do conhecimento pré-existente.

Provedor de treinamento
Você encontrará uma lista de nossos provedores de treinamento credenciados em www.exin.com.

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 6

27001 (ISFS.PR)
2. Requisitos do exame

Os requisitos do exame são definidos nas especificações do exame. A tabela a seguir lista os
tópicos (requisitos do exame) e subtópicos (especificações do exame) do módulo.

Requisitos do Especificações do exame Peso

exame
1. Informação e segurança 15%
1.1 Conceito da informação 5%
1.2 Valor da informação 5%
1.3 Aspectos de confiabilidade 5%
2. Ameaças e riscos 15%
2.1 Ameaças e riscos 15%
3. Abordagem e organização 17,5%
3.1 Política de segurança e organização de segurança 5%
3.2 Componentes 5%
3.3 Gestão de incidentes 7,5%
4. Medidas 42,5%
4.1 Importância das medidas 10%
4.2 Medidas físicas 10%
4.3 Medidas técnicas 10%
4.4 Medidas organizacionais 12,5%
5. Legislação e regulamentações 10%
5.1 Legislação e regulamentações 10%
Total 100%

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 7

27001 (ISFS.PR)
Especificações do exame

1 Informação e segurança
1.1 Conceito da informação
O candidato é capaz de…
1.1.1 explicar a diferença entre dados e informação.
1.1.2 explicar o que é gerenciamento da informação.
1.2 Valor da informação
O candidato é capaz de…
1.2.1 descrever o valor dos dados e da informação para as organizações.
1.2.2 descrever como o valor dos dados e da informação pode influenciar as
organizações.
1.2.3 explicar como a aplicação dos conceitos de segurança da informação protege
o valor dos dados e da informação.
1.3 Aspectos de confiabilidade
O candidato é capaz de…
1.3.1 citar os aspectos de confiabilidade da informação.
1.3.2 descrever os aspectos de confiabilidade da informação.

2 Ameaças e riscos
2.1 Ameaças e riscos
O candidato é capaz de…
2.1.1 explicar os conceitos: ameaça, risco e análise de risco.
2.1.2 explicar a relação entre uma ameaça e um risco.
2.1.3 explicar os vários tipos de ameaças.
2.1.4 descrever vários tipos de danos.
2.1.5 descrever várias estratégias de risco.

3 Abordagem e organização
3.1 Política de segurança e organização de segurança
O candidato é capaz de…
3.1.1 descrever os objetivos e o conteúdo da política de segurança.
3.1.2 descrever os objetivos e o conteúdo da organização de segurança.
3.2 Componentes
O candidato é capaz de…
3.2.1 explicar a importância de um código de conduta.
3.2.2 explicar a importância de propriedade.
3.2.3 citar os cargos mais importantes na organização de segurança.
3.3 Gestão de incidentes
O candidato é capaz de….
3.3.1 resumir como os incidentes de segurança são notificados e que informação é
necessária.
3.3.2 dar exemplos de incidentes de segurança.
3.3.3 explicar as consequências da não se notificar incidentes de segurança.
3.3.4 explicar o que uma escalação implica (funcionalmente e hierarquicamente).
3.3.5 descrever os efeitos da escalação na organização.
3.3.6 explicar o ciclo de vida de um incidente.

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 8

27001 (ISFS.PR)
4 Medidas
4.1 Importância das medidas
O candidato é capaz de…
4.1.1 descrever os vários modos de estruturar e organizar as medidas de
segurança.
4.1.2 dar exemplos de cada tipo de medida de segurança.
4.1.3 explicar a relação entre riscos e medidas de segurança.
4.1.4 explicar o objetivo da classificação da informação.
4.1.5 descrever o efeito da classificação.
4.2 Medidas físicas
O candidato é capaz de…
4.2.1 dar exemplos de medidas físicas de segurança.
4.2.2 descrever os riscos envolvidos com medidas físicas de segurança
insuficientes.
4.3 Medidas técnicas
O candidato é capaz de…
4.3.1 dar exemplos de medidas técnicas de segurança.
4.3.2 descrever os riscos envolvidos com medidas técnicas de segurança
insuficientes.
4.3.3 entender os conceitos: criptografia, assinatura digital e certificado.
4.3.4 citar os vários tipos de malware, phishing e spam.
4.3.5 descrever as medidas que podem ser usadas contra malware, phishing e
spam.
4.4 Medidas organizacionais
O candidato é capaz de…
4.4.1 dar exemplos de medidas organizacionais de segurança.
4.4.2 descrever os perigos e riscos envolvidos com medidas organizacionais de
segurança insuficientes.
4.4.3 descrever medidas de segurança de acesso, como segregação de funções e
uso de senhas.
4.4.4 descrever os princípios do gerenciamento de acesso.
4.4.5 descrever os conceitos: identificação, autenticação e autorização.
4.4.6 explicar a importância para uma organização de um gerenciamento da
continuidade de negócios bem estabelecido.
4.4.7 deixar claro a importância de realizar exercícios.

5 Legislação e regulamentações
5.1 Legislação e regulamentações
O candidato é capaz de…
5.1.1 explicar por que a legislação e as regulamentações são importantes para a
confiabilidade da informação.
5.1.2 dar exemplos de legislação relacionada à segurança da informação.
5.1.3 dar exemplos de regulamentações relacionadas à segurança da informação.
5.1.4 indicar possíveis medidas que podem ser tomadas para atender aos requisitos
da legislação e das regulamentações.

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 9

27001 (ISFS.PR)
3. Lista de conceitos básicos

Este capítulo contém os termos e abreviaturas com que os candidatos devem se familiarizar.

Por favor, note que o conhecimento destes termos de maneira independente não é suficiente para
o exame; O candidato deve compreender os conceitos e estar apto a fornecer exemplos.

Inglês Português
access control controle de acesso
annualized loss expectancy (ALE) expectativa de perda anual (ALE)
annualized rate of occurrence (ARO) taxa de ocorrência anual (ARO)
asset ativo
audit auditoria
authentication autenticação
authorization autorização
availability disponibilidade
backup backup (cópia de segurança)
biometrics biometria
business continuity management (BCM) gerenciamento da continuidade de negócios
(GCN)
certificate certificado
change management gerenciamento da mudança
classification classificação
clear-desk policy política de mesa limpa
code of conduct código de conduta
compliance conformidade
confidentiality confidencialidade
continuity continuidade
controls medidas
cryptography criptografia
cyber crime crime cibernético
damage danos
• direct damage • danos diretos
• indirect damage • danos indiretos
data dados
demilitarized zone (DMZ) zona desmilitarizada (DMZ)
digital signature assinatura digital
disaster desastre
disaster recovery plan (DRP) plano de recuperação de desastre (PRD)
encryption criptografia
escalation escalação
exposure factor (EF) fator de exposição
grading nível de classificação
hacker hacker
identification identificação
(business) impact impacto no negócio
incident cycle ciclo de vida de um incidente
incident reporting notificação de incidente
information informação
information analysis análise da informação
information architecture arquitetura da informação
information management gerenciamento da informação

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 10

27001 (ISFS.PR)
information security management system sistema de gestão de segurança da
(ISMS) informação (SGSI)
information security organization organização da segurança da informação
information security policy política de segurança da informação
information system sistema de informação
integrity integridade
intrusion detection system (IDS) sistema de detecção de intrusos (IDS)
key chave
logical access management gerenciamento de acesso lógico
malware malware
(counter)measure (contra)medida
• corrective • corretiva
• detective • detectiva
• insurance • seguro
• preventive • preventiva
• reductive • redutiva
• repressive • repressiva
non-disclosure agreement acordo de confidencialidade
non-repudiation não-repúdio
patch patch
pentest teste de invasão
phishing phishing
priority prioridade
privacy privacidade
Public Key Infrastructure (PKI) infraestrutura de chave pública (ICP)
redundancy redundância
reliability confiabilidade
risk risco
risk analysis análise de risco
• qualitative risk analysis • análise qualitativa de risco
• quantitative risk analysis • análise quantitativa de risco
risk assessment avaliação de riscos
risk management gerenciamento de riscos
• risk avoiding/risk avoidance • evitar o risco
• risk bearing (risk acceptance) • aceitar o risco
• risk neutral • reduzir o risco
risk strategy estratégia de risco
risk treatment tratamento de risco
rootkit rootkit
security incident incidente de segurança
segregation of duties segregação de funções
single loss expectancy (SLE) expectativa de perda por incidente (SLE)
social engineering engenharia social
spam spam
special information informação especial
spyware spyware
threat ameaça
• non-human threat • ameaça não humana
• human threat • ameaça humana
threat agent agente de ameaça
trojan trojan
uninterruptible power supply (UPS) fornecedor ininterrupto de energia
(uninterruptible power supply - UPS)
urgency urgência

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 11

27001 (ISFS.PR)
validation validação
verification verificação
virtual private network (VPN) rede privada virtual (VPN)
virus vírus
vulnerability vulnerabilidade
worm worm

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 12

27001 (ISFS.PR)
4. Literatura

Literatura do exame

O conhecimento necessário para o exame é coberto na seguinte literatura:

A. Hintzbergen, J., Hintzbergen, K., Smulders, A. e Baars, H.

Fundamentos de Segurança da Informação: com base na ISO 27001 e ISO 27002
Brasport, 1ª edição, 2018
ISBN 9788574528601

Matriz da literatura

Requisitos do Especificações do exame Referência

exame
1. Informação e segurança
1.1 Conceito da informação Cap. 3 e §4.10
1.2 Valor da informação Cap. 3 e 4
1.3 Aspectos de confiabilidade Cap. 3
2. Ameaças e riscos
2.1 Ameaças e riscos Cap. 3
3. Abordagem e organização
3.1 Política de segurança e organização de Cap. 3, 5 e 6
segurança
3.2 Componentes Cap. 6, 7, 8 e 13
3.3 Gestão de incidentes Cap. 15 e 16
4. Medidas
4.1 Importância das medidas Cap. 3 e 8
4.2 Medidas físicas Cap. 3, 7, 11 e 12
4.3 Medidas técnicas Cap. 3, 6 ,9, 10, 11, 12 e 13
4.4 Medidas organizacionais Cap. 3, 5, 6, 9, 11, 12 e 17
5. Legislação e regulamentações
5.1 Legislação e regulamentações Cap. 18

Guia de preparação EXIN Information Security Foundation based on ISO/IEC 13

27001 (ISFS.PR)
Contato EXIN

www.exin.com