Brazilian Portuguese Sample Exam Isfs 202101

Exame simulado
Edição 202101
Copyright © EXIN Holding B.V. 2021. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.
Exame simulado EXIN Information Security Foundation based on 2

ISO/IEC 27001 (ISFS.PR)
Conteúdo
Introdução 4
Exame simulado 5
Gabarito de respostas 15
Avaliação 34

Introdução
Este é o exame simulado EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR).
As regras e regulamentos do exame do EXIN se aplicam a este exame.
Este exame consiste em 40 questões de múltipla escolha. Cada questão de múltipla escolha
possui um certo número de alternativas de resposta, entre as quais apenas uma resposta é a
correta.
O número máximo de pontos que pode ser obtido neste exame é 40. Cada resposta correta vale 1
ponto. Você precisa de 26 pontos ou mais para passar no exame.
O tempo permitido para este exame é de 60 minutos.
Boa Sorte!

Exame simulado
1 / 40
Para fazer um seguro contra incêndio, uma organização deve determinar o valor dos dados que
gerencia.
Qual fator não é importante para a determinação do valor dos dados de uma organização?
A) A quantidade de armazenamento necessária para os dados

B) Até que grau os dados faltantes podem ser recuperados
C) A indispensabilidade dos dados para os processos de negócios
D) A importância dos processos que utilizam os dados
2 / 40
Além de integridade e confidencialidade, qual é o terceiro aspecto de confiabilidade da
informação?
A) Autenticidade
B) Disponibilidade
C) Completitude
D) Valor
3 / 40
Uma empresa tem uma impressora ligada à rede na sua recepção. Muitos funcionários não
recuperam suas impressões imediatamente e as deixam na impressora.
Qual é a consequência disso para a confiabilidade da informação?
A) A disponibilidade da informação já não é mais garantida.

B) A confidencialidade da informação já não é mais garantida.
C) A integridade da informação já não é mais garantida.
4 / 40
Uma base de dados contém alguns milhões de transações de uma empresa telefônica. Uma fatura
foi gerada e enviada a um cliente.
Para esse cliente, o que contém essa fatura?
A) Dados
B) Informação
C) Dados e informação

5 / 40
Qual é a melhor descrição do foco do gerenciamento da informação?
A) Permitir que as atividades e processos de negócios continuem sem interrupção

B) Assegurar que o valor da informação seja identificado e aproveitado
C) Evitar que pessoas não autorizadas tenham acesso a sistemas automatizados
D) Entender como a informação flui através de uma organização
6 / 40
Os patches de segurança mais recentes não foram instalados em um sistema de base de dados e
ele foi hackeado. Os hackers conseguiram acessar os dados e eliminá-los.
Que conceito de segurança da informação descreve a falta de patches de segurança?
A) Impacto
B) Risco
C) Ameaça
D) Vulnerabilidade
7 / 40
Uma secretaria está determinando os perigos aos quais está exposta.
Como é chamado um possível evento que pode ter um efeito perturbador na confiabilidade da
informação?
A) Uma dependência
B) Um risco
C) Uma ameaça
D) Uma vulnerabilidade
8 / 40
Qual é uma finalidade do gerenciamento de riscos?
A) Determinar a probabilidade de ocorrência de um dado risco

B) Dirigir e controlar uma organização em relação ao risco
C) Investigar os danos causados por eventuais incidentes de segurança
D) Descrever as ameaças às quais os ativos de TI estão expostos
9 / 40
Qual é uma ameaça humana?
A) Um vazamento que provoca uma falha no fornecimento de eletricidade

B) Um pendrive que transmite um vírus para a rede
C) Pó demais na sala dos servidores

10 / 40
Uma análise de risco bem realizada proporciona muita informação útil. Uma análise de risco tem
quatro objetivos principais.
O que não é um dos quatro objetivos principais da análise de risco?
A) Determinar vulnerabilidades e ameaças relevantes

B) Definir um equilíbrio entre os custos de um incidente e os custos de uma medida
C) Identificar os ativos e seu valor
D) Implementar medidas e controles
11 / 40
Houve um incêndio em uma filial da seguradora Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam extinguir o fogo antes que se espalhasse e atingisse todas as
instalações da empresa. Entretanto, o incêndio destruiu o servidor. As fitas de backup (cópia de
segurança) que ficavam em outra sala derreteram e muitos documentos foram perdidos.
Que danos indiretos foram causados por esse incêndio?
A) Sistemas de computadores queimados

B) Documentos queimados
C) Fitas de backup queimadas
D) Danos causados pela água
12 / 40
Um escritório está localizado em uma área industrial. Uma empresa próxima a esse escritório
trabalha com materiais inflamáveis.
Qual é a relação entre a ameaça de incêndio e o risco de incêndio?
A) A ameaça de incêndio vem da empresa próxima ao escritório, o que representa um risco de incêndio
por trabalhar com materiais inflamáveis em uma área industrial vulnerável.
B) A ameaça de incêndio vem dos materiais inflamáveis, o que representa um risco de incêndio para o
escritório caso esse escritório tiver a vulnerabilidade de não ser à prova de fogo.
C) A ameaça de incêndio vem da probabilidade de o escritório sofrer danos, pois os materiais
inflamáveis representam um risco de incêndio.
D) A ameaça de incêndio vem do escritório vulnerável em uma área industrial e que está localizado
próximo a uma empresa que representa um risco de incêndio.
13 / 40
Houve um incêndio em uma filial de uma empresa de seguro saúde. Os funcionários foram
transferidos para filiais próximas para prosseguir seu trabalho.
No ciclo de um incidente, onde se localiza a mudança para um arranjo de continuidade?
A) Entre as etapas de danos e de recuperação

B) Entre as etapas de incidente e de danos
C) Entre as etapas de recuperação e de ameaças
D) Entre as etapas de ameaças e de incidente

14 / 40
Como melhor se descreve a finalidade da política de segurança da informação?
A) Uma política de segurança da informação documenta a análise dos riscos e a busca de

contramedidas.
B) Uma política de segurança da informação dá orientação e suporte à organização sobre segurança da
informação.
C) Uma política de segurança da informação concretiza o plano de segurança ao supri-lo com os
detalhes necessários.
D) Uma política de segurança da informação fornece uma visão sobre as ameaças e suas eventuais
consequências.
15 / 40
Um funcionário de uma seguradora descobre que a data de validade de uma política foi alterada
sem seu conhecimento. Ele é a única pessoa autorizada a fazer essa alteração e notifica esse
incidente ao helpdesk. O funcionário do helpdesk registra as seguintes informações sobre o
incidente:
- data e hora
- descrição do incidente
- eventuais consequências do incidente
Que informação importante sobre o incidente não foi registrada?
A) O nome da pessoa que notifica o incidente

B) O nome do pacote de software
C) Os nomes das pessoas que foram informadas
D) O número do computador
16 / 40
Juliana é proprietária de uma empresa de entrega expressa (courier). Ela emprega algumas
pessoas que, quando não estão fazendo entregas, podem executar outras tarefas. Entretanto,
observa que as pessoas aproveitam esse tempo para enviar e ler e-mails pessoais e navegar na
Internet.
Em termos legais, qual é a melhor maneira de regular o uso da Internet e do e-mail?
A) Bloquear todos os websites

B) Elaborar um código de conduta
C) Implementar regulamentações de privacidade
D) Instalar um antivírus
17 / 40
Qual sistema garante a coerência da segurança da informação em uma organização?
A) Sistema de gestão de segurança da informação (SGSI)

B) Sistema de detecção de intrusos (IDS)
C) Rootkit
D) Regulamentações sobre segurança para informações especiais

18 / 40
Um incidente de segurança relacionado a um servidor de web é notificado a um funcionário do
helpdesk, que transfere o caso para uma colega por ela ter mais experiência com servidores de
web.
Que termo descreve essa transferência?
A) Escalação funcional
B) Escalação hierárquica
C) Escalação de privilégios
19 / 40
Quem é responsável por converter a estratégia e os objetivos de negócio em estratégia e objetivos
de segurança?
A) O diretor de segurança da informação (CISO)

B) A diretoria geral
C) O executivo de segurança da informação (ISO)
D) O executivo da política de segurança da informação
20 / 40
Em caso de incêndio, qual é uma medida repressiva?
A) Extinção do incêndio após sua detecção

B) Reparação dos danos causados pelo incêndio
C) Contratação de um seguro contra incêndio
21 / 40
Qual é o objetivo da classificação da informação?
A) Rotular a informação para torná-la mais fácil de ser reconhecida

B) Criar um manual sobre como lidar com os dispositivos móveis
C) Estruturar a informação de acordo com sua sensibilidade
22 / 40
Que ameaça pode acontecer como resultado da ausência de uma medida física?
A) Um documento confidencial ser deixado na impressora

B) Um servidor parar por superaquecimento
C) Um usuário conseguir ver arquivos pertencentes a um outro usuário
D) Hackers conseguirem entrar livremente na rede de computadores

23 / 40
Uma sala de informática é protegida por um leitor de cartão de acesso. Apenas o departamento de
gestão de sistemas tem o cartão de acesso.
Que tipo de medida de segurança é essa?
A) Medida corretiva de segurança

B) Medida física de segurança
C) Medida lógica de segurança
D) Medida repressiva de segurança
24 / 40
Os backups (cópias de segurança) de um servidor central são mantidos na mesma sala trancada
que o servidor.
Qual é o risco mais provável que a organização pode enfrentar?
A) Se o servidor falhar, levará muito tempo para ficar operacional de novo.

B) Em caso de incêndio, é impossível reverter o sistema para seu estado anterior.
C) Ninguém é responsável por esses backups.
D) Pessoas não autorizadas têm fácil acesso aos backups.
25 / 40
Como se chama "determinar se a identidade de alguém é correta"?
A) Autenticação
B) Autorização
C) Identificação
26 / 40
Que tipo de segurança uma infraestrutura de chave pública (ICP) oferece?
A) Uma ICP verifica qual pessoa ou sistema pertence a uma chave chave pública específica.
B) Uma ICP assegura que os backups (cópias de segurança) dos dados da empresa sejam feitos
periodicamente.
C) Uma ICP mostra aos clientes que um negócio baseado na web é seguro.

27 / 40
No departamento de TI de uma empresa de médio porte, informações confidenciais caíram em
mãos erradas diversas vezes, o que prejudicou a imagem da empresa. Consequentemente, a
empresa está à procura de medidas organizacionais de segurança para proteger seus laptops.
Qual é a primeira ação a ser tomada?
A) Nomear mais profissionais de segurança da informação

B) Criptografar os dispositivos de armazenamento e os discos rígido dos laptops
C) Elaborar uma política para os dispositivos móveis
D) Estabelecer uma política de controle de acesso
28 / 40
Qual é a razão mais importante para se pôr em prática a segregação de funções?
A) Criar uma responsabilidade conjunta de todos os funcionários pelos erros cometidos

B) Assegurar que os funcionários façam o mesmo trabalho ao mesmo tempo
C) Tornar claro quem é responsável por quais tarefas e atividades
D) Minimizar o uso indevido dos ativos da empresa ou a possibilidade de alterações não autorizadas ou
involuntárias
29 / 40
Qual medida é uma medida preventiva?
A) Instalar um sistema de registro que permite que as mudanças em um sistema sejam reconhecidas
B) Guardar todas as informações sensíveis em um cofre após o horário de trabalho
C) Interromper todo o tráfego da Internet depois de um hacker acessar os sistemas da empresa
30 / 40
Que tipo de malware cria uma rede de computadores contaminados?
A) Bomba lógica
B) Spyware
C) Worm
D) Trojan
31 / 40
Em uma organização, o executivo de segurança da informação descobre que o computador de um
funcionário está infectado com um malware, instalado devido a um ataque phishing dirigido.
Que ação é a mais benéfica para evitar esse tipo de incidente no futuro?
A) Implementar tecnologia de controle de acesso obrigatório (mandatory access control - MAC)

B) Dar início a um programa de conscientização sobre segurança
C) Atualizar as regras do firewall
D) Atualizar as assinaturas do filtro de spam

32 / 40
Qual é a finalidade de um plano de recuperação de desastre (PRD)?
A) Identificar a vulnerabilidade subjacente a um desastre

B) Minimizar as consequências em caso de desastre
C) Reduzir a probabilidade de ocorrência de um desastre
D) Voltar a situação ao estado em que se encontrava antes do desastre
33 / 40
Na segurança física, podem ser instalados múltiplos anéis de proteção, nos quais diferentes
medidas podem ser tomadas.
O que não é um anel de proteção?
A) Anel do prédio
B) Anel intermediário
C) Anel de objeto
D) Anel externo
34 / 40
Medidas tomadas para proteger um sistema de informação de ataques.
A que corresponde essa definição?
A) Análise de risco
B) Gerenciamento de riscos
C) Controles de segurança
35 / 40
Qual é uma característica de uma medida de segurança?
A) Descrever um processo para manejar incidentes

B) Expor uma organização a eventuais danos
C) Ser posta em prática para mitigar um risco potencial
D) Mostrar o efeito da incerteza nos objetivos

36 / 40
Um datacenter usa um fornecedor ininterrupto de energia (uninterruptible power supply - UPS),
mas não tem gerador de energia.
Qual é o risco que essa situação representa para a disponibilidade do datacenter?
A) A energia principal pode não voltar automaticamente quando a energia for restabelecida, pois é
preciso um gerador de energia para isso.
B) O corte de energia principal pode durar mais do que alguns minutos ou algumas horas, o que causará
falta de energia.
C) O UPS pode ficar sem diesel e parar de funcionar depois de alguns dias, então sua vida útil é limitada.
D) O UPS deve ser alimentado pelo gerador de energia após algumas horas, então só fornece proteção
limitada.
37 / 40
Em que condições um empregador tem permissão de verificar se a Internet e os serviços de e-mail
no ambiente de trabalho estão sendo usados para fins pessoais?
A) Se houver também um firewall instalado

B) Se o funcionário for informado após cada verificação
C) Se o funcionário estiver ciente que isso pode acontecer
38 / 40
Que padrão ou regulamentação também é conhecido como o "código de prática para a gestão da
segurança da informação"?
A) ISO/IEC 27001
B) ISO/IEC 27002
C) Conformidade da Indústria de Cartões de Pagamento (PCI)
D) Sarbanes-Oxley Act
39 / 40
A legislação e as regulamentações são importantes para a confiabilidade da informação em uma
organização.
Qual é o primeiro passo que uma organização deve dar para se tornar conforme?
A) Realizar uma análise de risco para descobrir quais legislações e regulamentações são aplicáveis
B) Criar uma política de uso aceitável para conscientizar os funcionários sobre o que devem fazer
C) Planejar as auditorias de conformidade com antecedência de acordo com o ciclo PDCA
D) Elaborar uma política que mostre que leis e regulamentações locais devem ser seguidas

40 / 40
Que legislação pode ter um impacto nos requisitos de segurança da informação para todas as
empresas que lidam com residentes da União Europeia (UE)?
A) Convenção Europeia dos Direitos do Homem (CEDH)

B) ISO/IEC 27001
C) Quadro de Segurança Cibernética do NIST (NIST Cybersecurity Framework)
D) Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI-DSS)

Gabarito de respostas
1 / 40
Para fazer um seguro contra incêndio, uma organização deve determinar o valor dos dados que
gerencia.
Qual fator não é importante para a determinação do valor dos dados de uma organização?
A) A quantidade de armazenamento necessária para os dados

B) Até que grau os dados faltantes podem ser recuperados
C) A indispensabilidade dos dados para os processos de negócios
D) A importância dos processos que utilizam os dados
A) Correto. O valor dos dados não é determinado por fatores técnicos (como armazenamento), mas pelo
seu significado para os usuários. (Literatura: A, Capítulo 4.10.4)
B) Incorreto. Dados faltantes, incompletos ou incorretos que podem facilmente ser recuperados são
menos valiosos que dados difíceis ou impossíveis de ser recuperados.
C) Incorreto. A indispensabilidade dos dados para os processos de negócios determina em parte seu
valor.
D) Incorreto. Dados críticos para processos de negócios importantes são, por consequência, valiosos.
2 / 40
Além de integridade e confidencialidade, qual é o terceiro aspecto de confiabilidade da
informação?
A) Autenticidade
B) Disponibilidade
C) Completitude
D) Valor
A) Incorreto. Os três aspectos de confiabilidade da informação são disponibilidade, integridade e

confidencialidade.
B) Correto. Os três aspectos de confiabilidade da informação são disponibilidade, integridade e
confidencialidade. (Literatura: A, Capítulo 3.3)
C) Incorreto. Os três aspectos de confiabilidade da informação são disponibilidade, integridade e
confidencialidade.
D) Incorreto. Os três aspectos de confiabilidade da informação são disponibilidade, integridade e
confidencialidade.

3 / 40
Uma empresa tem uma impressora ligada à rede na sua recepção. Muitos funcionários não
recuperam suas impressões imediatamente e as deixam na impressora.
Qual é a consequência disso para a confiabilidade da informação?
A) A disponibilidade da informação já não é mais garantida.

B) A confidencialidade da informação já não é mais garantida.
C) A integridade da informação já não é mais garantida.
A) Incorreto. A informação ainda está disponível no sistema que foi utilizado para criá-la e imprimi-la.
B) Correto. A informação pode acabar nas mãos de - ou ser lida por - pessoas que não deveriam ter
acesso a essas informação. (Literatura: A, Capítulo 3.4)
C) Incorreto. A integridade da informação das impressões ainda é garantida, já que está no papel.
4 / 40
Uma base de dados contém alguns milhões de transações de uma empresa telefônica. Uma fatura
foi gerada e enviada a um cliente.
Para esse cliente, o que contém essa fatura?
A) Dados
B) Informação
C) Dados e informação
A) Incorreto. A base de dados contém dados. Entretanto, quando uma fatura é gerada e enviada a um
destinatário ela se torna informação para esse destinatário.
B) Correto. A fatura contém dados valiosos para o destinatário. Ela tem um significado e é, portanto,
informação. (Literatura: A, Capítulo 4.10.5)
C) Incorreto. A fatura contém informação para o destinatário e não dados.

5 / 40
Qual é a melhor descrição do foco do gerenciamento da informação?
A) Permitir que as atividades e processos de negócios continuem sem interrupção

B) Assegurar que o valor da informação seja identificado e aproveitado
C) Evitar que pessoas não autorizadas tenham acesso a sistemas automatizados
D) Entender como a informação flui através de uma organização
A) Incorreto. Essa afirmação está relacionada com o gerenciamento da continuidade de negócios

(GCN). A finalidade do GCN é evitar que as atividades de negócios sejam perturbadas, proteger os
processos críticos das consequências de perturbações abrangentes nos sistemas de informação, e
possibilitar uma recuperação rápida.
B) Correto. O gerenciamento da informação descreve os meios pelos quais uma organização
eficientemente planeja, coleta, organiza, utiliza, controla, dissemina e elimina sua informação. Meios
esses pelos quais assegura que o valor dessa informação é identificado e aproveitado ao máximo.
(Literatura: A, Capítulo 4.11)
C) Incorreto. Esse é foco do gerenciamento de acesso, que assegura que pessoas ou processos não
autorizados não tenham acesso a sistemas automatizados, bases de dados e programas.
D) Incorreto. Esse é o foco da análise da informação, que fornece uma visão clara de como uma
organização maneja a informação, ou seja, como a informação flui através de uma organização.
6 / 40
Os patches de segurança mais recentes não foram instalados em um sistema de base de dados e
ele foi hackeado. Os hackers conseguiram acessar os dados e eliminá-los.
Que conceito de segurança da informação descreve a falta de patches de segurança?
A) Impacto
B) Risco
C) Ameaça
D) Vulnerabilidade
A) Incorreto. Impacto é o efeito de um evento na organização ou na sua informação.

B) Incorreto. Um risco é a combinação entre a probabilidade de ocorrência de um evento e seu impacto.
C) Incorreto. Um exemplo de ameaça é uma entidade externa tentando explorar uma vulnerabilidade.
Neste caso, os hackers são a ameaça.
D) Correto. Um exemplo de uma vulnerabilidade é uma falta de proteção. (Literatura: A, Capítulo 3.10)

7 / 40
Uma secretaria está determinando os perigos aos quais está exposta.
Como é chamado um possível evento que pode ter um efeito perturbador na confiabilidade da
informação?
A) Uma dependência
B) Um risco
C) Uma ameaça
D) Uma vulnerabilidade
A) Incorreto. Uma dependência não é um evento.

B) Incorreto. Um risco é a média dos danos esperados em um período de tempo, resultantes de uma ou
mais ameaças que levam a perturbação.
C) Correto. Uma ameaça é um evento possível que pode ter um efeito perturbador na confiabilidade da
informação. (Literatura: A, Capítulo 3.9)
D) Incorreto. Vulnerabilidade é o grau de susceptibilidade de um objeto a uma ameaça.
8 / 40
Qual é uma finalidade do gerenciamento de riscos?
A) Determinar a probabilidade de ocorrência de um dado risco

B) Dirigir e controlar uma organização em relação ao risco
C) Investigar os danos causados por eventuais incidentes de segurança
D) Descrever as ameaças às quais os ativos de TI estão expostos
A) Incorreto. Isso é parte da análise de risco.

B) Correto. Gerenciamento de risco são as atividades coordenadas para dirigir e controlar uma
organização em relação ao risco. (Literatura: A, Capítulo 3.13)
C) Incorreto. Isso é parte da análise de risco.
D) Incorreto. Isso é parte da análise de risco.
9 / 40
Qual é uma ameaça humana?
A) Um vazamento que provoca uma falha no fornecimento de eletricidade

B) Um pendrive que transmite um vírus para a rede
C) Pó demais na sala dos servidores
A) Incorreto. Um vazamento não é uma ameaça humana e sim uma ameaça não humana.
B) Correto. Um pendrive é sempre inserido por alguém. Assim, se essa ação faz um vírus entrar na rede,
então se trata de uma ameaça humana. (Literatura: A, Capítulo 3.16)
C) Incorreto. Pó não é uma ameaça humana e sim uma ameaça não humana.

10 / 40
Uma análise de risco bem realizada proporciona muita informação útil. Uma análise de risco tem
quatro objetivos principais.
O que não é um dos quatro objetivos principais da análise de risco?
A) Determinar vulnerabilidades e ameaças relevantes

B) Definir um equilíbrio entre os custos de um incidente e os custos de uma medida
C) Identificar os ativos e seu valor
D) Implementar medidas e controles
A) Incorreto. Esse é um dos principais objetivos de uma análise de risco.

B) Incorreto. Esse é um dos principais objetivos de uma análise de risco.
C) Incorreto. Esse é um dos principais objetivos de uma análise de risco.
D) Correto. Esse não é um objetivo de uma análise de risco. (Literatura: A, Capítulo 3.13.3)
11 / 40
Houve um incêndio em uma filial da seguradora Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam extinguir o fogo antes que se espalhasse e atingisse todas as
instalações da empresa. Entretanto, o incêndio destruiu o servidor. As fitas de backup (cópia de
segurança) que ficavam em outra sala derreteram e muitos documentos foram perdidos.
Que danos indiretos foram causados por esse incêndio?
A) Sistemas de computadores queimados

B) Documentos queimados
C) Fitas de backup queimadas
D) Danos causados pela água
A) Incorreto. Sistemas de computadores queimados são danos diretos causados pelo incêndio.
B) Incorreto. Documentos queimados são danos diretos causados pelo incêndio.
C) Incorreto. Fitas de backup derretidas são danos diretos causados pelo incêndio.
D) Correto. Danos causados pela água dos extintores de incêndio são danos indiretos causados pelo
incêndio. Esse é um efeito colateral da extinção do fogo, destinada a minimizar os danos causados
pelo incêndio. (Literatura: A, Capítulo 3.17)

12 / 40
Um escritório está localizado em uma área industrial. Uma empresa próxima a esse escritório
trabalha com materiais inflamáveis.
Qual é a relação entre a ameaça de incêndio e o risco de incêndio?
A) A ameaça de incêndio vem da empresa próxima ao escritório, o que representa um risco de incêndio
por trabalhar com materiais inflamáveis em uma área industrial vulnerável.
B) A ameaça de incêndio vem dos materiais inflamáveis, o que representa um risco de incêndio para o
escritório caso esse escritório tiver a vulnerabilidade de não ser à prova de fogo.
C) A ameaça de incêndio vem da probabilidade de o escritório sofrer danos, pois os materiais
inflamáveis representam um risco de incêndio.
D) A ameaça de incêndio vem do escritório vulnerável em uma área industrial e que está localizado
próximo a uma empresa que representa um risco de incêndio.
A) Incorreto. A ameaça são os materiais inflamáveis, não a empresa. Os materiais inflamáveis não são
um risco.
B) Correto. A relação está explicada na resposta. (Literatura: A, Capítulo 3.8, 3.9 e 3.10)
C) Incorreto. A probabilidade de o escritório sofrer danos é um risco, não uma ameaça. Os materiais
inflamáveis são uma ameaça, não um risco.
D) Incorreto. O escritório é uma vulnerabilidade, não uma ameaça.
13 / 40
Houve um incêndio em uma filial de uma empresa de seguro saúde. Os funcionários foram
transferidos para filiais próximas para prosseguir seu trabalho.
No ciclo de um incidente, onde se localiza a mudança para um arranjo de continuidade?
A) Entre as etapas de danos e de recuperação

B) Entre as etapas de incidente e de danos
C) Entre as etapas de recuperação e de ameaças
D) Entre as etapas de ameaças e de incidente
A) Incorreto. Os danos e a recuperação são limitadas pelo arranjo de continuidade.

B) Correto. Um arranjo de continuidade é uma medida corretiva que é acionada para limitar os danos.
C) Incorreto. A etapa de recuperação ocorre após se colocar em funcionamento o arranjo de
continuidade.
D) Incorreto. É muito caro realizar um arranjo de continuidade sem que haja um incidente.

14 / 40
Como melhor se descreve a finalidade da política de segurança da informação?
A) Uma política de segurança da informação documenta a análise dos riscos e a busca de

contramedidas.
B) Uma política de segurança da informação dá orientação e suporte à organização sobre segurança da
informação.
C) Uma política de segurança da informação concretiza o plano de segurança ao supri-lo com os
detalhes necessários.
D) Uma política de segurança da informação fornece uma visão sobre as ameaças e suas eventuais
consequências.
A) Incorreto. A análise dos riscos e a busca de contramedidas é o objetivo da análise de risco e do

gerenciamento de riscos.
B) Correto. Com a política de segurança, a diretoria dá orientação e suporte sobre segurança da
C) Incorreto. O plano de segurança concretiza a política de segurança da informação. O plano inclui as
medidas que foram escolhidas, quem é responsável por que, as diretrizes para a implementação das
medidas, etc.
D) Incorreto. A finalidade da análise de ameaças é fornecer uma visão sobre as ameaças e suas
eventuais consequências.
15 / 40
Um funcionário de uma seguradora descobre que a data de validade de uma política foi alterada
sem seu conhecimento. Ele é a única pessoa autorizada a fazer essa alteração e notifica esse
incidente ao helpdesk. O funcionário do helpdesk registra as seguintes informações sobre o
incidente:
- data e hora
- descrição do incidente
- eventuais consequências do incidente
Que informação importante sobre o incidente não foi registrada?
A) O nome da pessoa que notifica o incidente

B) O nome do pacote de software
C) Os nomes das pessoas que foram informadas
D) O número do computador
A) Correto. Ao se notificar um incidente, o nome da pessoa que notifica deve ser registrado, no mínimo.
B) Incorreto. Essa informação adicional pode ser incluída depois.
C) Incorreto. Essa informação adicional pode ser incluída depois.
D) Incorreto. Essa informação adicional pode ser incluída depois.

16 / 40
Juliana é proprietária de uma empresa de entrega expressa (courier). Ela emprega algumas
pessoas que, quando não estão fazendo entregas, podem executar outras tarefas. Entretanto,
observa que as pessoas aproveitam esse tempo para enviar e ler e-mails pessoais e navegar na
Internet.
Em termos legais, qual é a melhor maneira de regular o uso da Internet e do e-mail?
A) Bloquear todos os websites

B) Elaborar um código de conduta
C) Implementar regulamentações de privacidade
D) Instalar um antivírus
A) Incorreto. Bloquear todos os websites regula apenas o uso da Internet, mas não controla o tempo
gasto para fins pessoais. Essa é uma medida técnica.
B) Correto. Em um código de conduta, podem ser documentados o uso da Internet e do e-mail, quais
websites podem ou não podem ser visitados e até que ponto é permitido o uso pessoal. Essas são
regulamentações internas. (Literatura: A, Capítulo 7)
C) Incorreto. Regulamentações de privacidade apenas regulam o uso dos dados pessoais dos
funcionários e clientes, não o uso da Internet e do e-mail.
D) Incorreto. Um antivírus checa os e-mails recebidos e as conexões de Internet com malware, porém
não regula o uso da Internet e do e-mail. Essa é uma medida técnica.
17 / 40
Qual sistema garante a coerência da segurança da informação em uma organização?
A) Sistema de gestão de segurança da informação (SGSI)

B) Sistema de detecção de intrusos (IDS)
C) Rootkit
D) Regulamentações sobre segurança para informações especiais
A) Correto. O SGSI inclui a estrutura organizacional, políticas, planejamento das atividades,

responsabilidades, práticas, procedimentos, processos e recursos. Isso cria coerência na
organização. (Literatura: A, Capítulo 3.1)
B) Incorreto. Um IDS monitora o tráfego da rede e hospeda as atividades, mas não cria coerência.
C) Incorreto. Um rootkit é um conjunto malicioso de ferramentas de software frequentemente usado por
terceiros (geralmente um hacker) após acessar um sistema.
D) Incorreto. Esse é um conjunto de regras governamentais sobre como manejar informações especiais.

18 / 40
Um incidente de segurança relacionado a um servidor de web é notificado a um funcionário do
helpdesk, que transfere o caso para uma colega por ela ter mais experiência com servidores de
web.
Que termo descreve essa transferência?
A) Escalação funcional
B) Escalação hierárquica
C) Escalação de privilégios
A) Correto. Se um funcionário do helpdesk não é capaz de se ocupar pessoalmente do incidente, o

incidente pode ser notificado a alguém com mais experiência que pode conseguir resolver o
problema. Isso é uma escalação funcional (horizontal). (Literatura: A, Capítulo 16.1)
B) Incorreto. Isso é uma escalação funcional (horizontal). A escalação hierárquica acontece quando
uma tarefa é transferida para alguém com mais autoridade.
C) Incorreto. A escalação de privilégios é uma etapa após o ganho de acesso ao sistema de
computadores. Normalmente, é uma etapa durante um ataque ou teste de intrusão.
19 / 40
Quem é responsável por converter a estratégia e os objetivos de negócio em estratégia e objetivos
de segurança?
A) O diretor de segurança da informação (CISO)

B) A diretoria geral
C) O executivo de segurança da informação (ISO)
D) O executivo da política de segurança da informação
A) Correto. O CISO ocupa o nível de gestão mais alto da organização e desenvolve a estratégia de
segurança geral para toda a empresa. (Literatura: A, Capítulo 6.1)
B) Incorreto. Em última instância, a diretoria geral é responsável por tudo, incluindo a estratégia que
serve de entrada para a estratégia de segurança geral, que, por sua vez, é desenvolvida pelo CISO.
C) Incorreto. O ISO desenvolve a política de segurança da informação de uma unidade de negócios
baseado na política da empresa e assegura que ela seja respeitada.
D) Incorreto. O executivo da política de segurança da informação é responsável por manter a política
resultante da estratégia de segurança.
20 / 40
Em caso de incêndio, qual é uma medida repressiva?
A) Extinção do incêndio após sua detecção

B) Reparação dos danos causados pelo incêndio
C) Contratação de um seguro contra incêndio
A) Correto. Essa medida repressiva minimiza os danos causados pelo incêndio. (Literatura: A, Capítulo
3.15.4)
B) Incorreto. Essa não é uma medida repressiva, pois não minimiza os danos causados pelo incêndio.
C) Incorreto. A contratação de um seguro contra incêndio protege contra as consequências financeiras
de um incêndio e é um seguro contra riscos.

21 / 40
Qual é o objetivo da classificação da informação?
A) Rotular a informação para torná-la mais fácil de ser reconhecida

B) Criar um manual sobre como lidar com os dispositivos móveis
C) Estruturar a informação de acordo com sua sensibilidade
A) Incorreto. Rotular a informação é fazer a designação, uma forma especial de categorizar a

informação de acordo com sua classificação.
B) Incorreto. Criar um manual está relacionado com orientações para os usuários e não com a
classificação da informação.
C) Correto. A classificação da informação é utilizada para definir os diferentes níveis de sensibilidade
em que a informação pode ser estruturada. (Literatura: A, Capítulo 8.5)
22 / 40
Que ameaça pode acontecer como resultado da ausência de uma medida física?
A) Um documento confidencial ser deixado na impressora

B) Um servidor parar por superaquecimento
C) Um usuário conseguir ver arquivos pertencentes a um outro usuário
D) Hackers conseguirem entrar livremente na rede de computadores
A) Incorreto. Uma política de segurança deveria incluir regras de como manejar documentos. Todos os
funcionários deveriam estar cientes dessa política e pôr em prática suas regras. Essa é uma medida
organizacional.
B) Correto. Medidas físicas de segurança tratam da proteção dos equipamentos por meio de controle
climático (ar condicionado, umidade do ar). (Literatura: A, Capítulo 11.2)
C) Incorreto. Controle de acesso lógico é uma medida técnica que previne o acesso não autorizado aos
documentos de um outro usuário.
D) Incorreto. Evitar que hackers entrem no computador ou na rede é uma medida técnica.

23 / 40
Uma sala de informática é protegida por um leitor de cartão de acesso. Apenas o departamento de
gestão de sistemas tem o cartão de acesso.
Que tipo de medida de segurança é essa?
A) Medida corretiva de segurança

B) Medida física de segurança
C) Medida lógica de segurança
D) Medida repressiva de segurança
A) Incorreto. Uma medida corretiva de segurança é uma medida de recuperação. O leitor de cartão de
acesso não recupera o impacto de um incidente.
B) Correto. Essa é uma medida física de segurança. (Literatura: A, Capítulo 11.1.2)
C) Incorreto. Uma medida lógica de segurança controla o acesso ao software e às informações, não o
acesso físico às salas.
D) Incorreto. Uma medida repressiva de segurança serve para minimizar as consequências de uma
perturbação.
24 / 40
Os backups (cópias de segurança) de um servidor central são mantidos na mesma sala trancada
que o servidor.
Qual é o risco mais provável que a organização pode enfrentar?
A) Se o servidor falhar, levará muito tempo para ficar operacional de novo.

B) Em caso de incêndio, é impossível reverter o sistema para seu estado anterior.
C) Ninguém é responsável por esses backups.
D) Pessoas não autorizadas têm fácil acesso aos backups.
A) Incorreto. Ao contrário, isso ajudaria a tornar o sistema operacional mais rapidamente.

B) Correto. A probabilidade que os backups também sejam destruídos é muito alta. (Literatura: A,
Capítulo 3.6 e 11.2.1)
C) Incorreto. Responsabilidade não tem nada a ver com o local de armazenamento.
D) Incorreto. A sala dos servidores deve ser trancada.
25 / 40
Como se chama "determinar se a identidade de alguém é correta"?
A) Autenticação
B) Autorização
C) Identificação
A) Correto. Determinar se a identidade de alguém é correta se chama autentificação. (Literatura: A,

Capítulo 9.2)
B) Incorreto. Autorização é o processo de dar direito de acesso a um computador ou a uma rede.
C) Incorreto. Identificação é o processo de tornar uma identidade conhecida.

26 / 40
Que tipo de segurança uma infraestrutura de chave pública (ICP) oferece?
A) Uma ICP verifica qual pessoa ou sistema pertence a uma chave chave pública específica.
B) Uma ICP assegura que os backups (cópias de segurança) dos dados da empresa sejam feitos
periodicamente.
C) Uma ICP mostra aos clientes que um negócio baseado na web é seguro.
A) Correto. Uma característica de uma ICP é fornecer, por meio de acordos, procedimentos e uma
estrutura organizacional, garantias quanto à pessoa ou ao sistema que pertence a uma chave pública
específica. (Literatura: A, Capítulo 10.2.3)
B) Incorreto. Uma ICP não assegura a realização de backups.
C) Incorreto. Uma ICP garante que uma pessoa ou um sistema pertence a uma dada chave pública.
27 / 40
No departamento de TI de uma empresa de médio porte, informações confidenciais caíram em
mãos erradas diversas vezes, o que prejudicou a imagem da empresa. Consequentemente, a
empresa está à procura de medidas organizacionais de segurança para proteger seus laptops.
Qual é a primeira ação a ser tomada?
A) Nomear mais profissionais de segurança da informação

B) Criptografar os dispositivos de armazenamento e os discos rígido dos laptops
C) Elaborar uma política para os dispositivos móveis
D) Estabelecer uma política de controle de acesso
A) Incorreto. Isso pode ser uma boa solução no final, mas não é um bom ponto de partida.
B) Incorreto. Criptografar os discos rígidos dos laptops e os dispositivos de armazenamento é uma
medida técnica que pode ser implementada com base em uma medida organizacional.
C) Correto. Essa política é uma medida organizacional. (Literatura: A, Capítulo 6.2)
D) Incorreto. A política de controle de acesso é uma medida organizacional, que abrange apenas o
acesso a instalações ou sistemas de TI. Logo, não resolve o problema.

28 / 40
Qual é a razão mais importante para se pôr em prática a segregação de funções?
A) Criar uma responsabilidade conjunta de todos os funcionários pelos erros cometidos

B) Assegurar que os funcionários façam o mesmo trabalho ao mesmo tempo
C) Tornar claro quem é responsável por quais tarefas e atividades
D) Minimizar o uso indevido dos ativos da empresa ou a possibilidade de alterações não autorizadas ou
involuntárias
A) Incorreto. A segregação de funções separa as atividades e as responsabilidades. Não atribui

responsabilidade conjunta a um grupo de pessoas.
B) Incorreto. A segregação de funções é usada para evitar a possibilidade de alterações não autorizadas
ou involuntárias, ou o uso indevido dos ativos da organização. Não define quando as atividades
devem ser realizadas.
C) Incorreto. A segregação de funções é usada para evitar a possibilidade de alterações não autorizadas
ou involuntárias, ou o uso indevido dos ativos da organização. Seu objetivo não é tornar claro quem é
responsável por quê.
D) Correto. As funções devem ser segregadas para evitar a possibilidade de alterações não autorizadas
ou involuntárias, ou o uso indevido dos ativos da organização. (Literatura: A, Capítulo 6.1.1)
29 / 40
Qual medida é uma medida preventiva?
A) Instalar um sistema de registro que permite que as mudanças em um sistema sejam reconhecidas
B) Guardar todas as informações sensíveis em um cofre após o horário de trabalho
C) Interromper todo o tráfego da Internet depois de um hacker acessar os sistemas da empresa
A) Incorreto. Um sistema de registro sinaliza um incidente e ajuda a pesquisar, após sua ocorrência, o
que aconteceu para provocá-lo, o que é uma medida detectiva.
B) Correto. Um cofre é uma medida preventiva, que evita danos às informações armazenadas nele.
(Literatura: A, Capítulo 3.15.2)
C) Incorreto. Interromper todo o tráfego da Internet é uma medida repressiva que se destina a limitar um
incidente.

30 / 40
Que tipo de malware cria uma rede de computadores contaminados?
A) Bomba lógica
B) Spyware
C) Worm
D) Trojan
A) Incorreto. Uma bomba lógica é uma parte do código que é desenvolvida em um sistema de software.
Esse código pode executar uma função quando condições específicas são atendidas, não sendo
sempre usado para fins maliciosos.
B) Incorreto. Spyware é um programa de computador que coleta informações sobre o usuário do
computador e as envia para terceiros.
C) Correto. Isto é o que um Worm faz. (Literature: A, Chapter 12.5.7)
D) Incorreto. Um trojan é um programa que, além da função que aparentemente desempenha, realiza
propositalmente atividades secundárias, despercebidas pelo usuário do computador, que podem
danificar a integridade do sistema infectado.
31 / 40
Em uma organização, o executivo de segurança da informação descobre que o computador de um
funcionário está infectado com um malware, instalado devido a um ataque phishing dirigido.
Que ação é a mais benéfica para evitar esse tipo de incidente no futuro?
A) Implementar tecnologia de controle de acesso obrigatório (mandatory access control - MAC)

B) Dar início a um programa de conscientização sobre segurança
C) Atualizar as regras do firewall
D) Atualizar as assinaturas do filtro de spam
A) Incorreto. O MAC trata do controle de acesso, não previne, portanto, um usuário de ser persuadido a
executar algumas ações resultantes de um ataque direcionado.
B) Correto. A vulnerabilidade subjacente dessa ameaça é o desconhecimento do usuário. Nesses tipos
de ataque, os usuários são persuadidos a executar algum código que viola a política. Abordar esses
tipos de ataque em um programa de conscientização sobre segurança reduzirá a probabilidade de
reincidência no futuro. (Literatura: A, Capítulo 12.4.3)
C) Incorreto. Um firewall pode conseguir bloquear o tráfego resultante da instalação do malware, mas
não previne a reincidência da ameaça.
D) Incorreto. O ataque direcionado não usa necessariamente o e-mail. O hacker pode também utilizar as
redes sociais, ou até mesmo o telefone, para contatar a vítima.

32 / 40
Qual é a finalidade de um plano de recuperação de desastre (PRD)?
A) Identificar a vulnerabilidade subjacente a um desastre

B) Minimizar as consequências em caso de desastre
C) Reduzir a probabilidade de ocorrência de um desastre
D) Voltar a situação ao estado em que se encontrava antes do desastre
A) Incorreto. O PRD se destina a minimizar as consequências de um desastre e não tem nenhuma

relação com a identificação de vulnerabilidades.
B) Correto. O PRD se destina a minimizar as consequências de um desastre. (Literatura: A, Capítulo
17.2)
C) Incorreto. O PRD se destina a limitar as consequências de um desastre e não tem nenhuma relação
com a redução da probabilidade de ocorrência de um desastre.
D) Incorreto. Esse é o objetivo de um plano de continuidade de negócios (PCN).
33 / 40
Na segurança física, podem ser instalados múltiplos anéis de proteção, nos quais diferentes
medidas podem ser tomadas.
O que não é um anel de proteção?
A) Anel do prédio
B) Anel intermediário
C) Anel de objeto
D) Anel externo
A) Incorreto. O anel do prédio lida com o acesso às instalações.

B) Correto. Há quatro anéis de proteção: anel externo, de prédio, de local de trabalho e de objeto.
(Literatura: A, Capítulo 11.1.1)
C) Incorreto. O anel de objeto é uma área válida que lida com o ativo que deve ser protegido.
D) Incorreto. O anel externo é uma área válida que lida com a área ao redor das instalações.

34 / 40
Medidas tomadas para proteger um sistema de informação de ataques.
A que corresponde essa definição?
A) Análise de risco
B) Gerenciamento de riscos
C) Controles de segurança
A) Incorreto. Análise de risco é o processo de definir e analisar os perigos que os potenciais eventos
adversos, causados por fatores naturais ou humanos, representam para os indivíduos, negócios e
órgãos do governo.
B) Incorreto. Gerenciamento de riscos é o processo de planejar, organizar, conduzir e controlar as
atividades de uma organização de forma a minimizar o efeito do risco no capital e nos ganhos de
uma organização.
C) Correto. Os controles de segurança são medidas tomadas para proteger um sistema de informação
de ataques à confidencialidade, integridade e disponibilidade (CID) do sistema de informação.
(Literatura: A, Capítulo 3.14.1 e Apêndice A)
35 / 40
Qual é uma característica de uma medida de segurança?
A) Descrever um processo para manejar incidentes

B) Expor uma organização a eventuais danos
C) Ser posta em prática para mitigar um risco potencial
D) Mostrar o efeito da incerteza nos objetivos
A) Incorreto. Essa é uma característica da gestão de incidentes de segurança da informação.

B) Incorreto. Essa é uma característica de uma vulnerabilidade, que é uma fragilidade de um ativo ou
grupo de ativos, e pode ser explorada por uma ou mais ameaças.
C) Correto. Uma contramedida é posta em prática para mitigar um risco em potencial. Pode ser uma
configuração de software, um serviço de hardware ou um procedimento que elimina uma
vulnerabilidade ou reduz a probabilidade de um agente de ameaça conseguir explorar a
vulnerabilidade. (Literatura: A, Capítulo 3.12)
D) Incorreto. Essa é uma outra explicação de risco.

36 / 40
Um datacenter usa um fornecedor ininterrupto de energia (uninterruptible power supply - UPS),
mas não tem gerador de energia.
Qual é o risco que essa situação representa para a disponibilidade do datacenter?
A) A energia principal pode não voltar automaticamente quando a energia for restabelecida, pois é
preciso um gerador de energia para isso.
B) O corte de energia principal pode durar mais do que alguns minutos ou algumas horas, o que causará
falta de energia.
C) O UPS pode ficar sem diesel e parar de funcionar depois de alguns dias, então sua vida útil é limitada.
D) O UPS deve ser alimentado pelo gerador de energia após algumas horas, então só fornece proteção
limitada.
A) Incorreto. Um gerador de energia não é usado para acionar o fornecimento de energia.

B) Correto. Um UPS só protege em caso de cortes e picos de energia temporários, já o gerador de
energia protege em cortes de maior duração. (Literatura: A, Capítulo 11.2.2)
C) Incorreto. O UPS é alimentado por baterias, enquanto o gerador de energia funciona a diesel.
D) Incorreto. O UPS vai funcionar por um período curto, mas não é alimentado pelo gerador. O gerador
simplesmente substitui o UPS.
37 / 40
Em que condições um empregador tem permissão de verificar se a Internet e os serviços de e-mail
no ambiente de trabalho estão sendo usados para fins pessoais?
A) Se houver também um firewall instalado

B) Se o funcionário for informado após cada verificação
C) Se o funcionário estiver ciente que isso pode acontecer
A) Incorreto. Um firewall protege contra invasores externos. Isso não tem nenhuma influência no direito
do empregador de monitorar o uso dos serviços de TI.
B) Incorreto. O funcionário não precisa ser informado após cada verificação.
C) Correto. Os funcionários devem saber que o empregador tem o direito de monitorar o uso dos
serviços de TI. (Literatura: A, Capítulo 7 e 18.2)

38 / 40
Que padrão ou regulamentação também é conhecido como o "código de prática para a gestão da
segurança da informação"?
A) ISO/IEC 27001
B) ISO/IEC 27002
C) Conformidade da Indústria de Cartões de Pagamento (PCI)
D) Sarbanes-Oxley Act
A) Incorreto. Esse padrão ISO é o padrão para o sistema de gestão de segurança da informação (SGSI).
B) Correto. Esse padrão também é conhecido como o código de prática para a gestão da segurança da
C) Incorreto. A conformidade PCI é um padrão geral para as empresas que processam informações dos
cartões de pagamento.
D) Incorreto. O Sarbanes-Oxley Act é uma lei federal dos Estados Unidos que determina os padrões para
todos os conselhos de administração das empresas de capital aberto dos Estados Unidos.
39 / 40
A legislação e as regulamentações são importantes para a confiabilidade da informação em uma
organização.
Qual é o primeiro passo que uma organização deve dar para se tornar conforme?
A) Realizar uma análise de risco para descobrir quais legislações e regulamentações são aplicáveis
B) Criar uma política de uso aceitável para conscientizar os funcionários sobre o que devem fazer
C) Planejar as auditorias de conformidade com antecedência de acordo com o ciclo PDCA
D) Elaborar uma política que mostre que leis e regulamentações locais devem ser seguidas
A) Incorreto. Uma análise de risco é realizada para encontrar riscos e definir medidas, entre outros, não
sendo usada para descobrir as legislações e regulamentações aplicáveis.
B) Incorreto. Esta etapa somente pode ocorrer após o conhecimento das leis e regulamentos aplicáveis
e incorporá-los em uma política.
C) Incorreto. Auditorias para medir a conformidade só podem se planejadas após se conhecerem quais
legislações e regulamentações são obrigatórias.
D) Correto. O primeiro que uma organização deve dar é elaborar uma política na qual declara que deve
estar em conformidade com as legislações e regulamentações nacionais e locais. (Literatura: A,
Capítulo 18.1.1)

40 / 40
Que legislação pode ter um impacto nos requisitos de segurança da informação para todas as
empresas que lidam com residentes da União Europeia (UE)?
A) Convenção Europeia dos Direitos do Homem (CEDH)

B) ISO/IEC 27001
C) Quadro de Segurança Cibernética do NIST (NIST Cybersecurity Framework)
D) Padrão de Segurança de Dados da Indústria de Cartão de Pagamento (PCI-DSS)
A) Correto. Todos os Estados Membros da UE são signatários da CEDH. (Literatura: A, Capítulo 18.1.4)
B) Incorreto. Só as organizações que querem certificar seu sistema de gestão de segurança da
informação (SGSI) precisam estar em conformidade com os requisitos da ISO/IEC 27001.
C) Incorreto. Os padrões NIST são exigidos apenas para as agências federais dos Estados Unidos e
seus fornecedores.
D) Incorreto. Só as organizações que processam dados de cartões de crédito precisam estar em
conformidade com o PCI-DSS.

Avaliação
A tabela a seguir mostra as respostas corretas às questões apresentadas neste exame simulado.
Questão Resposta Questão Resposta

1 A 21 C
2 B 22 B
3 B 23 B
4 B 24 B
5 B 25 A
6 D 26 A
7 C 27 C
8 B 28 D
9 B 29 B
10 D 30 C
11 D 31 B
12 B 32 B
13 B 33 B
14 B 34 C
15 A 35 C
16 B 36 B
17 A 37 C
18 A 38 B
19 A 39 D
20 A 40 A

Contato EXIN
www.exin.com

Brazilian Portuguese Sample Exam Isfs 202101

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Brazilian Portuguese Sample Exam Isfs 202101

Enviado por

Direitos autorais:

Formatos disponíveis

Exame simulado

Exame simulado EXIN Information Security Foundation based on 2

Exame simulado EXIN Information Security Foundation based on 3

O tempo permitido para este exame é de 60 minutos.

Exame simulado EXIN Information Security Foundation based on 4

A) A quantidade de armazenamento necessária para os dados

Qual é a consequência disso para a confiabilidade da informação?

A) A disponibilidade da informação já não é mais garantida.

Para esse cliente, o que contém essa fatura?

Exame simulado EXIN Information Security Foundation based on 5

A) Permitir que as atividades e processos de negócios continuem sem interrupção

Que conceito de segurança da informação descreve a falta de patches de segurança?

A) Determinar a probabilidade de ocorrência de um dado risco

A) Um vazamento que provoca uma falha no fornecimento de eletricidade

Exame simulado EXIN Information Security Foundation based on 6

O que não é um dos quatro objetivos principais da análise de risco?

A) Determinar vulnerabilidades e ameaças relevantes

Que danos indiretos foram causados por esse incêndio?

A) Sistemas de computadores queimados

Qual é a relação entre a ameaça de incêndio e o risco de incêndio?

No ciclo de um incidente, onde se localiza a mudança para um arranjo de continuidade?

A) Entre as etapas de danos e de recuperação

Exame simulado EXIN Information Security Foundation based on 7

A) Uma política de segurança da informação documenta a análise dos riscos e a busca de

Que informação importante sobre o incidente não foi registrada?

A) O nome da pessoa que notifica o incidente

Em termos legais, qual é a melhor maneira de regular o uso da Internet e do e-mail?

A) Bloquear todos os websites

A) Sistema de gestão de segurança da informação (SGSI)

Exame simulado EXIN Information Security Foundation based on 8

Que termo descreve essa transferência?

A) O diretor de segurança da informação (CISO)

A) Extinção do incêndio após sua detecção

A) Rotular a informação para torná-la mais fácil de ser reconhecida

A) Um documento confidencial ser deixado na impressora

Exame simulado EXIN Information Security Foundation based on 9

Que tipo de medida de segurança é essa?

A) Medida corretiva de segurança

Qual é o risco mais provável que a organização pode enfrentar?

A) Se o servidor falhar, levará muito tempo para ficar operacional de novo.

Exame simulado EXIN Information Security Foundation based on 10

Qual é a primeira ação a ser tomada?

A) Nomear mais profissionais de segurança da informação

A) Criar uma responsabilidade conjunta de todos os funcionários pelos erros cometidos

A) Implementar tecnologia de controle de acesso obrigatório (mandatory access control - MAC)

Exame simulado EXIN Information Security Foundation based on 11

A) Identificar a vulnerabilidade subjacente a um desastre

O que não é um anel de proteção?

A que corresponde essa definição?

A) Descrever um processo para manejar incidentes

Exame simulado EXIN Information Security Foundation based on 12

Qual é o risco que essa situação representa para a disponibilidade do datacenter?

A) Se houver também um firewall instalado

Exame simulado EXIN Information Security Foundation based on 13

A) Convenção Europeia dos Direitos do Homem (CEDH)

Exame simulado EXIN Information Security Foundation based on 14

A) A quantidade de armazenamento necessária para os dados

A) Incorreto. Os três aspectos de confiabilidade da informação são disponibilidade, integridade e

Exame simulado EXIN Information Security Foundation based on 15

Qual é a consequência disso para a confiabilidade da informação?

A) A disponibilidade da informação já não é mais garantida.

Para esse cliente, o que contém essa fatura?

Exame simulado EXIN Information Security Foundation based on 16

A) Permitir que as atividades e processos de negócios continuem sem interrupção