Segurança da Informação – Exercícios de fixação 3

1- O que é a Política de Segurança da Informação (PSI)?

R.: Conjunto de normas e diretrizes destinadas para proteção das informações
da organização.
2- Qual o objetivo principal da PSI?
R.: Prover uma orientação e o apoio da direção para a segurança da
informação, de acordo com os requisitos do negócio e com as leis e
regulamentações relevantes.
3- Para que a PSI seja dividida em temas, é necessário conhecer as necessidades
da organização. A partir de quais necessidades essa delimitação pode ser feita?
R.: Conhecimento do ambiente organizacional, humano e tecnológico;
Compilação das preocupações sobre segurança por parte dos usuários,
administradores e executivos da empresa.
4- Quais os tópicos nos quais os temas devem abranger?
R.: Vigência (Início e Fim); importância da Política de Segurança; quais
recursos são protegidos; quais aplicativos e softwares serão permitidos; qual
procedimento para se conceder ou revogar privilégios na rede; no caso de
violação da política, o que deve ser feito.
5- Cite exemplos de como a PSI pode ser divulgada dentro da organização.
R.: Avisos, reuniões, treinamentos, informativos.
6- Qual termo atribuído ao grupo de funcionários designados para a elaboração
da PSI da empresa, dentre outras atribuições?
R.: Comissão de segurança.
7- Que tipos de documentos são gerados a partir da PSI? Quais tipos de
acompanhamento sustentam esses documentos?
R.: Diretrizes, normas e procedimentos, sustentados pelo acompanhamento
realizado através da cultura da empresa, ferramentas e monitoramento.
8- O que é um SGSI? Qual seu objetivo?
R.: O Sistema de Gestão de Segurança da Informação preserva a
confidencialidade, integridade e disponibilidade da informação por meio da
aplicação de um processo de gestão de riscos e fornece confiança para as
partes interessadas de que os riscos são adequadamente gerenciados.
9- Qual a finalidade da norma ISO/IEC 27001?
R.: Oferecer um modelo para estabelecer, implementar, operar, monitorar,
analisar criticamente e melhorar um Sistema de Gestão de Segurança da
Informação (SGSI).
10- Qual é a relação existente entre a norma ISO/IEC 27001 e o Anexo SL da ISO?
 R.: Na versão 2013 da norma ISO/IEC 27001 houve o alinhamento com as
diretrizes do Anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO
Supplement, que padroniza definições e estruturas de diferentes sistemas de
gestão ISO.
11- Qual palavra é citada frequentemente na norma que constitui a principal
característica marcante da norma ISO/IEC 27001? Por quê?
R.: Orientações do que DEVE ser feito. Os requisitos definidos nesta Norma
são genéricos e é pretendido que sejam aplicáveis a todas as organizações,
independentemente de tipo, tamanho e natureza. A exclusão de quaisquer
dos requisitos especificados nas seções de 4 a 8 na versão 2006, ou de 4 a 10
na versão 2013, não é aceitável quando uma organização reivindica
conformidade com esta Norma.
12- O que norma ISO/IEC 27002 estabelece?
R.: Diretrizes e princípios gerais para iniciar, implementar, manter e melhorar
a gestão da segurança da informação em uma organização.
13- Qual palavra é citada frequentemente na norma que constitui a principal
característica marcante da norma ISO/IEC 27002? Por quê?
R.: Orientações do que CONVÉM ser feito. Embora todos os controles sejam
importantes e devam ser considerados, a relevância de qualquer controle
deve ser determinada segundo os riscos específicos a que uma organização
está exposta. Nem todos os controles e diretrizes contidos na norma podem
ser aplicados, e controles adicionais e recomendações não incluídos podem
ser necessários.
14- Informe qual a quantidade de controles básicos recomendados pela norma
ISO/IEC 27002 na versão 2013.
R.: 114 controles básicos em 14 seções.