Escolar Documentos
Profissional Documentos
Cultura Documentos
Brazilian Portuguese Sample Exam Isfs 202101
Brazilian Portuguese Sample Exam Isfs 202101
Edição 202101
Copyright © EXIN Holding B.V. 2021. All rights reserved.
EXIN® is a registered trademark.
No part of this publication may be reproduced, stored, utilized or transmitted in any form or by any means, electronic,
mechanical, or otherwise, without the prior written permission from EXIN.
Introdução 4
Exame simulado 5
Gabarito de respostas 15
Avaliação 34
Este é o exame simulado EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS.PR).
As regras e regulamentos do exame do EXIN se aplicam a este exame.
Este exame consiste em 40 questões de múltipla escolha. Cada questão de múltipla escolha
possui um certo número de alternativas de resposta, entre as quais apenas uma resposta é a
correta.
O número máximo de pontos que pode ser obtido neste exame é 40. Cada resposta correta vale 1
ponto. Você precisa de 26 pontos ou mais para passar no exame.
Boa Sorte!
1 / 40
Para fazer um seguro contra incêndio, uma organização deve determinar o valor dos dados que
gerencia.
Qual fator não é importante para a determinação do valor dos dados de uma organização?
2 / 40
Além de integridade e confidencialidade, qual é o terceiro aspecto de confiabilidade da
informação?
A) Autenticidade
B) Disponibilidade
C) Completitude
D) Valor
3 / 40
Uma empresa tem uma impressora ligada à rede na sua recepção. Muitos funcionários não
recuperam suas impressões imediatamente e as deixam na impressora.
4 / 40
Uma base de dados contém alguns milhões de transações de uma empresa telefônica. Uma fatura
foi gerada e enviada a um cliente.
A) Dados
B) Informação
C) Dados e informação
6 / 40
Os patches de segurança mais recentes não foram instalados em um sistema de base de dados e
ele foi hackeado. Os hackers conseguiram acessar os dados e eliminá-los.
A) Impacto
B) Risco
C) Ameaça
D) Vulnerabilidade
7 / 40
Uma secretaria está determinando os perigos aos quais está exposta.
Como é chamado um possível evento que pode ter um efeito perturbador na confiabilidade da
informação?
A) Uma dependência
B) Um risco
C) Uma ameaça
D) Uma vulnerabilidade
8 / 40
Qual é uma finalidade do gerenciamento de riscos?
9 / 40
Qual é uma ameaça humana?
11 / 40
Houve um incêndio em uma filial da seguradora Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam extinguir o fogo antes que se espalhasse e atingisse todas as
instalações da empresa. Entretanto, o incêndio destruiu o servidor. As fitas de backup (cópia de
segurança) que ficavam em outra sala derreteram e muitos documentos foram perdidos.
12 / 40
Um escritório está localizado em uma área industrial. Uma empresa próxima a esse escritório
trabalha com materiais inflamáveis.
A) A ameaça de incêndio vem da empresa próxima ao escritório, o que representa um risco de incêndio
por trabalhar com materiais inflamáveis em uma área industrial vulnerável.
B) A ameaça de incêndio vem dos materiais inflamáveis, o que representa um risco de incêndio para o
escritório caso esse escritório tiver a vulnerabilidade de não ser à prova de fogo.
C) A ameaça de incêndio vem da probabilidade de o escritório sofrer danos, pois os materiais
inflamáveis representam um risco de incêndio.
D) A ameaça de incêndio vem do escritório vulnerável em uma área industrial e que está localizado
próximo a uma empresa que representa um risco de incêndio.
13 / 40
Houve um incêndio em uma filial de uma empresa de seguro saúde. Os funcionários foram
transferidos para filiais próximas para prosseguir seu trabalho.
15 / 40
Um funcionário de uma seguradora descobre que a data de validade de uma política foi alterada
sem seu conhecimento. Ele é a única pessoa autorizada a fazer essa alteração e notifica esse
incidente ao helpdesk. O funcionário do helpdesk registra as seguintes informações sobre o
incidente:
- data e hora
- descrição do incidente
- eventuais consequências do incidente
16 / 40
Juliana é proprietária de uma empresa de entrega expressa (courier). Ela emprega algumas
pessoas que, quando não estão fazendo entregas, podem executar outras tarefas. Entretanto,
observa que as pessoas aproveitam esse tempo para enviar e ler e-mails pessoais e navegar na
Internet.
17 / 40
Qual sistema garante a coerência da segurança da informação em uma organização?
A) Escalação funcional
B) Escalação hierárquica
C) Escalação de privilégios
19 / 40
Quem é responsável por converter a estratégia e os objetivos de negócio em estratégia e objetivos
de segurança?
20 / 40
Em caso de incêndio, qual é uma medida repressiva?
21 / 40
Qual é o objetivo da classificação da informação?
22 / 40
Que ameaça pode acontecer como resultado da ausência de uma medida física?
24 / 40
Os backups (cópias de segurança) de um servidor central são mantidos na mesma sala trancada
que o servidor.
25 / 40
Como se chama "determinar se a identidade de alguém é correta"?
A) Autenticação
B) Autorização
C) Identificação
26 / 40
Que tipo de segurança uma infraestrutura de chave pública (ICP) oferece?
A) Uma ICP verifica qual pessoa ou sistema pertence a uma chave chave pública específica.
B) Uma ICP assegura que os backups (cópias de segurança) dos dados da empresa sejam feitos
periodicamente.
C) Uma ICP mostra aos clientes que um negócio baseado na web é seguro.
28 / 40
Qual é a razão mais importante para se pôr em prática a segregação de funções?
29 / 40
Qual medida é uma medida preventiva?
A) Instalar um sistema de registro que permite que as mudanças em um sistema sejam reconhecidas
B) Guardar todas as informações sensíveis em um cofre após o horário de trabalho
C) Interromper todo o tráfego da Internet depois de um hacker acessar os sistemas da empresa
30 / 40
Que tipo de malware cria uma rede de computadores contaminados?
A) Bomba lógica
B) Spyware
C) Worm
D) Trojan
31 / 40
Em uma organização, o executivo de segurança da informação descobre que o computador de um
funcionário está infectado com um malware, instalado devido a um ataque phishing dirigido.
Que ação é a mais benéfica para evitar esse tipo de incidente no futuro?
33 / 40
Na segurança física, podem ser instalados múltiplos anéis de proteção, nos quais diferentes
medidas podem ser tomadas.
A) Anel do prédio
B) Anel intermediário
C) Anel de objeto
D) Anel externo
34 / 40
Medidas tomadas para proteger um sistema de informação de ataques.
A) Análise de risco
B) Gerenciamento de riscos
C) Controles de segurança
35 / 40
Qual é uma característica de uma medida de segurança?
A) A energia principal pode não voltar automaticamente quando a energia for restabelecida, pois é
preciso um gerador de energia para isso.
B) O corte de energia principal pode durar mais do que alguns minutos ou algumas horas, o que causará
falta de energia.
C) O UPS pode ficar sem diesel e parar de funcionar depois de alguns dias, então sua vida útil é limitada.
D) O UPS deve ser alimentado pelo gerador de energia após algumas horas, então só fornece proteção
limitada.
37 / 40
Em que condições um empregador tem permissão de verificar se a Internet e os serviços de e-mail
no ambiente de trabalho estão sendo usados para fins pessoais?
38 / 40
Que padrão ou regulamentação também é conhecido como o "código de prática para a gestão da
segurança da informação"?
A) ISO/IEC 27001
B) ISO/IEC 27002
C) Conformidade da Indústria de Cartões de Pagamento (PCI)
D) Sarbanes-Oxley Act
39 / 40
A legislação e as regulamentações são importantes para a confiabilidade da informação em uma
organização.
Qual é o primeiro passo que uma organização deve dar para se tornar conforme?
A) Realizar uma análise de risco para descobrir quais legislações e regulamentações são aplicáveis
B) Criar uma política de uso aceitável para conscientizar os funcionários sobre o que devem fazer
C) Planejar as auditorias de conformidade com antecedência de acordo com o ciclo PDCA
D) Elaborar uma política que mostre que leis e regulamentações locais devem ser seguidas
1 / 40
Para fazer um seguro contra incêndio, uma organização deve determinar o valor dos dados que
gerencia.
Qual fator não é importante para a determinação do valor dos dados de uma organização?
A) Correto. O valor dos dados não é determinado por fatores técnicos (como armazenamento), mas pelo
seu significado para os usuários. (Literatura: A, Capítulo 4.10.4)
B) Incorreto. Dados faltantes, incompletos ou incorretos que podem facilmente ser recuperados são
menos valiosos que dados difíceis ou impossíveis de ser recuperados.
C) Incorreto. A indispensabilidade dos dados para os processos de negócios determina em parte seu
valor.
D) Incorreto. Dados críticos para processos de negócios importantes são, por consequência, valiosos.
2 / 40
Além de integridade e confidencialidade, qual é o terceiro aspecto de confiabilidade da
informação?
A) Autenticidade
B) Disponibilidade
C) Completitude
D) Valor
A) Incorreto. A informação ainda está disponível no sistema que foi utilizado para criá-la e imprimi-la.
B) Correto. A informação pode acabar nas mãos de - ou ser lida por - pessoas que não deveriam ter
acesso a essas informação. (Literatura: A, Capítulo 3.4)
C) Incorreto. A integridade da informação das impressões ainda é garantida, já que está no papel.
4 / 40
Uma base de dados contém alguns milhões de transações de uma empresa telefônica. Uma fatura
foi gerada e enviada a um cliente.
A) Dados
B) Informação
C) Dados e informação
A) Incorreto. A base de dados contém dados. Entretanto, quando uma fatura é gerada e enviada a um
destinatário ela se torna informação para esse destinatário.
B) Correto. A fatura contém dados valiosos para o destinatário. Ela tem um significado e é, portanto,
informação. (Literatura: A, Capítulo 4.10.5)
C) Incorreto. A fatura contém informação para o destinatário e não dados.
6 / 40
Os patches de segurança mais recentes não foram instalados em um sistema de base de dados e
ele foi hackeado. Os hackers conseguiram acessar os dados e eliminá-los.
A) Impacto
B) Risco
C) Ameaça
D) Vulnerabilidade
Como é chamado um possível evento que pode ter um efeito perturbador na confiabilidade da
informação?
A) Uma dependência
B) Um risco
C) Uma ameaça
D) Uma vulnerabilidade
8 / 40
Qual é uma finalidade do gerenciamento de riscos?
9 / 40
Qual é uma ameaça humana?
A) Incorreto. Um vazamento não é uma ameaça humana e sim uma ameaça não humana.
B) Correto. Um pendrive é sempre inserido por alguém. Assim, se essa ação faz um vírus entrar na rede,
então se trata de uma ameaça humana. (Literatura: A, Capítulo 3.16)
C) Incorreto. Pó não é uma ameaça humana e sim uma ameaça não humana.
11 / 40
Houve um incêndio em uma filial da seguradora Midwest Insurance. Os bombeiros chegaram
rapidamente ao local e puderam extinguir o fogo antes que se espalhasse e atingisse todas as
instalações da empresa. Entretanto, o incêndio destruiu o servidor. As fitas de backup (cópia de
segurança) que ficavam em outra sala derreteram e muitos documentos foram perdidos.
A) Incorreto. Sistemas de computadores queimados são danos diretos causados pelo incêndio.
B) Incorreto. Documentos queimados são danos diretos causados pelo incêndio.
C) Incorreto. Fitas de backup derretidas são danos diretos causados pelo incêndio.
D) Correto. Danos causados pela água dos extintores de incêndio são danos indiretos causados pelo
incêndio. Esse é um efeito colateral da extinção do fogo, destinada a minimizar os danos causados
pelo incêndio. (Literatura: A, Capítulo 3.17)
A) A ameaça de incêndio vem da empresa próxima ao escritório, o que representa um risco de incêndio
por trabalhar com materiais inflamáveis em uma área industrial vulnerável.
B) A ameaça de incêndio vem dos materiais inflamáveis, o que representa um risco de incêndio para o
escritório caso esse escritório tiver a vulnerabilidade de não ser à prova de fogo.
C) A ameaça de incêndio vem da probabilidade de o escritório sofrer danos, pois os materiais
inflamáveis representam um risco de incêndio.
D) A ameaça de incêndio vem do escritório vulnerável em uma área industrial e que está localizado
próximo a uma empresa que representa um risco de incêndio.
A) Incorreto. A ameaça são os materiais inflamáveis, não a empresa. Os materiais inflamáveis não são
um risco.
B) Correto. A relação está explicada na resposta. (Literatura: A, Capítulo 3.8, 3.9 e 3.10)
C) Incorreto. A probabilidade de o escritório sofrer danos é um risco, não uma ameaça. Os materiais
inflamáveis são uma ameaça, não um risco.
D) Incorreto. O escritório é uma vulnerabilidade, não uma ameaça.
13 / 40
Houve um incêndio em uma filial de uma empresa de seguro saúde. Os funcionários foram
transferidos para filiais próximas para prosseguir seu trabalho.
15 / 40
Um funcionário de uma seguradora descobre que a data de validade de uma política foi alterada
sem seu conhecimento. Ele é a única pessoa autorizada a fazer essa alteração e notifica esse
incidente ao helpdesk. O funcionário do helpdesk registra as seguintes informações sobre o
incidente:
- data e hora
- descrição do incidente
- eventuais consequências do incidente
A) Correto. Ao se notificar um incidente, o nome da pessoa que notifica deve ser registrado, no mínimo.
(Literatura: A, Capítulo 16.2)
B) Incorreto. Essa informação adicional pode ser incluída depois.
C) Incorreto. Essa informação adicional pode ser incluída depois.
D) Incorreto. Essa informação adicional pode ser incluída depois.
A) Incorreto. Bloquear todos os websites regula apenas o uso da Internet, mas não controla o tempo
gasto para fins pessoais. Essa é uma medida técnica.
B) Correto. Em um código de conduta, podem ser documentados o uso da Internet e do e-mail, quais
websites podem ou não podem ser visitados e até que ponto é permitido o uso pessoal. Essas são
regulamentações internas. (Literatura: A, Capítulo 7)
C) Incorreto. Regulamentações de privacidade apenas regulam o uso dos dados pessoais dos
funcionários e clientes, não o uso da Internet e do e-mail.
D) Incorreto. Um antivírus checa os e-mails recebidos e as conexões de Internet com malware, porém
não regula o uso da Internet e do e-mail. Essa é uma medida técnica.
17 / 40
Qual sistema garante a coerência da segurança da informação em uma organização?
A) Escalação funcional
B) Escalação hierárquica
C) Escalação de privilégios
19 / 40
Quem é responsável por converter a estratégia e os objetivos de negócio em estratégia e objetivos
de segurança?
A) Correto. O CISO ocupa o nível de gestão mais alto da organização e desenvolve a estratégia de
segurança geral para toda a empresa. (Literatura: A, Capítulo 6.1)
B) Incorreto. Em última instância, a diretoria geral é responsável por tudo, incluindo a estratégia que
serve de entrada para a estratégia de segurança geral, que, por sua vez, é desenvolvida pelo CISO.
C) Incorreto. O ISO desenvolve a política de segurança da informação de uma unidade de negócios
baseado na política da empresa e assegura que ela seja respeitada.
D) Incorreto. O executivo da política de segurança da informação é responsável por manter a política
resultante da estratégia de segurança.
20 / 40
Em caso de incêndio, qual é uma medida repressiva?
A) Correto. Essa medida repressiva minimiza os danos causados pelo incêndio. (Literatura: A, Capítulo
3.15.4)
B) Incorreto. Essa não é uma medida repressiva, pois não minimiza os danos causados pelo incêndio.
C) Incorreto. A contratação de um seguro contra incêndio protege contra as consequências financeiras
de um incêndio e é um seguro contra riscos.
22 / 40
Que ameaça pode acontecer como resultado da ausência de uma medida física?
A) Incorreto. Uma política de segurança deveria incluir regras de como manejar documentos. Todos os
funcionários deveriam estar cientes dessa política e pôr em prática suas regras. Essa é uma medida
organizacional.
B) Correto. Medidas físicas de segurança tratam da proteção dos equipamentos por meio de controle
climático (ar condicionado, umidade do ar). (Literatura: A, Capítulo 11.2)
C) Incorreto. Controle de acesso lógico é uma medida técnica que previne o acesso não autorizado aos
documentos de um outro usuário.
D) Incorreto. Evitar que hackers entrem no computador ou na rede é uma medida técnica.
A) Incorreto. Uma medida corretiva de segurança é uma medida de recuperação. O leitor de cartão de
acesso não recupera o impacto de um incidente.
B) Correto. Essa é uma medida física de segurança. (Literatura: A, Capítulo 11.1.2)
C) Incorreto. Uma medida lógica de segurança controla o acesso ao software e às informações, não o
acesso físico às salas.
D) Incorreto. Uma medida repressiva de segurança serve para minimizar as consequências de uma
perturbação.
24 / 40
Os backups (cópias de segurança) de um servidor central são mantidos na mesma sala trancada
que o servidor.
25 / 40
Como se chama "determinar se a identidade de alguém é correta"?
A) Autenticação
B) Autorização
C) Identificação
A) Uma ICP verifica qual pessoa ou sistema pertence a uma chave chave pública específica.
B) Uma ICP assegura que os backups (cópias de segurança) dos dados da empresa sejam feitos
periodicamente.
C) Uma ICP mostra aos clientes que um negócio baseado na web é seguro.
A) Correto. Uma característica de uma ICP é fornecer, por meio de acordos, procedimentos e uma
estrutura organizacional, garantias quanto à pessoa ou ao sistema que pertence a uma chave pública
específica. (Literatura: A, Capítulo 10.2.3)
B) Incorreto. Uma ICP não assegura a realização de backups.
C) Incorreto. Uma ICP garante que uma pessoa ou um sistema pertence a uma dada chave pública.
27 / 40
No departamento de TI de uma empresa de médio porte, informações confidenciais caíram em
mãos erradas diversas vezes, o que prejudicou a imagem da empresa. Consequentemente, a
empresa está à procura de medidas organizacionais de segurança para proteger seus laptops.
A) Incorreto. Isso pode ser uma boa solução no final, mas não é um bom ponto de partida.
B) Incorreto. Criptografar os discos rígidos dos laptops e os dispositivos de armazenamento é uma
medida técnica que pode ser implementada com base em uma medida organizacional.
C) Correto. Essa política é uma medida organizacional. (Literatura: A, Capítulo 6.2)
D) Incorreto. A política de controle de acesso é uma medida organizacional, que abrange apenas o
acesso a instalações ou sistemas de TI. Logo, não resolve o problema.
29 / 40
Qual medida é uma medida preventiva?
A) Instalar um sistema de registro que permite que as mudanças em um sistema sejam reconhecidas
B) Guardar todas as informações sensíveis em um cofre após o horário de trabalho
C) Interromper todo o tráfego da Internet depois de um hacker acessar os sistemas da empresa
A) Incorreto. Um sistema de registro sinaliza um incidente e ajuda a pesquisar, após sua ocorrência, o
que aconteceu para provocá-lo, o que é uma medida detectiva.
B) Correto. Um cofre é uma medida preventiva, que evita danos às informações armazenadas nele.
(Literatura: A, Capítulo 3.15.2)
C) Incorreto. Interromper todo o tráfego da Internet é uma medida repressiva que se destina a limitar um
incidente.
A) Bomba lógica
B) Spyware
C) Worm
D) Trojan
A) Incorreto. Uma bomba lógica é uma parte do código que é desenvolvida em um sistema de software.
Esse código pode executar uma função quando condições específicas são atendidas, não sendo
sempre usado para fins maliciosos.
B) Incorreto. Spyware é um programa de computador que coleta informações sobre o usuário do
computador e as envia para terceiros.
C) Correto. Isto é o que um Worm faz. (Literature: A, Chapter 12.5.7)
D) Incorreto. Um trojan é um programa que, além da função que aparentemente desempenha, realiza
propositalmente atividades secundárias, despercebidas pelo usuário do computador, que podem
danificar a integridade do sistema infectado.
31 / 40
Em uma organização, o executivo de segurança da informação descobre que o computador de um
funcionário está infectado com um malware, instalado devido a um ataque phishing dirigido.
Que ação é a mais benéfica para evitar esse tipo de incidente no futuro?
A) Incorreto. O MAC trata do controle de acesso, não previne, portanto, um usuário de ser persuadido a
executar algumas ações resultantes de um ataque direcionado.
B) Correto. A vulnerabilidade subjacente dessa ameaça é o desconhecimento do usuário. Nesses tipos
de ataque, os usuários são persuadidos a executar algum código que viola a política. Abordar esses
tipos de ataque em um programa de conscientização sobre segurança reduzirá a probabilidade de
reincidência no futuro. (Literatura: A, Capítulo 12.4.3)
C) Incorreto. Um firewall pode conseguir bloquear o tráfego resultante da instalação do malware, mas
não previne a reincidência da ameaça.
D) Incorreto. O ataque direcionado não usa necessariamente o e-mail. O hacker pode também utilizar as
redes sociais, ou até mesmo o telefone, para contatar a vítima.
33 / 40
Na segurança física, podem ser instalados múltiplos anéis de proteção, nos quais diferentes
medidas podem ser tomadas.
A) Anel do prédio
B) Anel intermediário
C) Anel de objeto
D) Anel externo
A) Análise de risco
B) Gerenciamento de riscos
C) Controles de segurança
A) Incorreto. Análise de risco é o processo de definir e analisar os perigos que os potenciais eventos
adversos, causados por fatores naturais ou humanos, representam para os indivíduos, negócios e
órgãos do governo.
B) Incorreto. Gerenciamento de riscos é o processo de planejar, organizar, conduzir e controlar as
atividades de uma organização de forma a minimizar o efeito do risco no capital e nos ganhos de
uma organização.
C) Correto. Os controles de segurança são medidas tomadas para proteger um sistema de informação
de ataques à confidencialidade, integridade e disponibilidade (CID) do sistema de informação.
(Literatura: A, Capítulo 3.14.1 e Apêndice A)
35 / 40
Qual é uma característica de uma medida de segurança?
A) A energia principal pode não voltar automaticamente quando a energia for restabelecida, pois é
preciso um gerador de energia para isso.
B) O corte de energia principal pode durar mais do que alguns minutos ou algumas horas, o que causará
falta de energia.
C) O UPS pode ficar sem diesel e parar de funcionar depois de alguns dias, então sua vida útil é limitada.
D) O UPS deve ser alimentado pelo gerador de energia após algumas horas, então só fornece proteção
limitada.
37 / 40
Em que condições um empregador tem permissão de verificar se a Internet e os serviços de e-mail
no ambiente de trabalho estão sendo usados para fins pessoais?
A) Incorreto. Um firewall protege contra invasores externos. Isso não tem nenhuma influência no direito
do empregador de monitorar o uso dos serviços de TI.
B) Incorreto. O funcionário não precisa ser informado após cada verificação.
C) Correto. Os funcionários devem saber que o empregador tem o direito de monitorar o uso dos
serviços de TI. (Literatura: A, Capítulo 7 e 18.2)
A) ISO/IEC 27001
B) ISO/IEC 27002
C) Conformidade da Indústria de Cartões de Pagamento (PCI)
D) Sarbanes-Oxley Act
A) Incorreto. Esse padrão ISO é o padrão para o sistema de gestão de segurança da informação (SGSI).
B) Correto. Esse padrão também é conhecido como o código de prática para a gestão da segurança da
informação. (Literatura: A, Capítulo 18.1.4)
C) Incorreto. A conformidade PCI é um padrão geral para as empresas que processam informações dos
cartões de pagamento.
D) Incorreto. O Sarbanes-Oxley Act é uma lei federal dos Estados Unidos que determina os padrões para
todos os conselhos de administração das empresas de capital aberto dos Estados Unidos.
39 / 40
A legislação e as regulamentações são importantes para a confiabilidade da informação em uma
organização.
Qual é o primeiro passo que uma organização deve dar para se tornar conforme?
A) Realizar uma análise de risco para descobrir quais legislações e regulamentações são aplicáveis
B) Criar uma política de uso aceitável para conscientizar os funcionários sobre o que devem fazer
C) Planejar as auditorias de conformidade com antecedência de acordo com o ciclo PDCA
D) Elaborar uma política que mostre que leis e regulamentações locais devem ser seguidas
A) Incorreto. Uma análise de risco é realizada para encontrar riscos e definir medidas, entre outros, não
sendo usada para descobrir as legislações e regulamentações aplicáveis.
B) Incorreto. Esta etapa somente pode ocorrer após o conhecimento das leis e regulamentos aplicáveis
e incorporá-los em uma política.
C) Incorreto. Auditorias para medir a conformidade só podem se planejadas após se conhecerem quais
legislações e regulamentações são obrigatórias.
D) Correto. O primeiro que uma organização deve dar é elaborar uma política na qual declara que deve
estar em conformidade com as legislações e regulamentações nacionais e locais. (Literatura: A,
Capítulo 18.1.1)
A) Correto. Todos os Estados Membros da UE são signatários da CEDH. (Literatura: A, Capítulo 18.1.4)
B) Incorreto. Só as organizações que querem certificar seu sistema de gestão de segurança da
informação (SGSI) precisam estar em conformidade com os requisitos da ISO/IEC 27001.
C) Incorreto. Os padrões NIST são exigidos apenas para as agências federais dos Estados Unidos e
seus fornecedores.
D) Incorreto. Só as organizações que processam dados de cartões de crédito precisam estar em
conformidade com o PCI-DSS.
A tabela a seguir mostra as respostas corretas às questões apresentadas neste exame simulado.
www.exin.com