Pergunta 1.

A propriedade de proteger a precisão e integridade dos bens é:

(Selecione a melhor resposta)
a) Correção
b) Sem repúdio.
c) Interoperabilidade.
d) Integridade
Resposta: Integridade.
Pergunta 2.Uma medida que está modificando o risco pode ser referida como:
(Selecione a melhor resposta)
a) Sistemas de Gerenciamento de Segurança (SGSI)
b) Remediação de riscos.
c) Controle.
d) Análise de impacto nos negócios
Resposta: Controle.
Pergunta 3. As atividades coordenadas para dirigir e controlar uma organização em
relação ao risco são conhecidas como:
a) Estimativa da irrigação.
b) Avaliação do risco.
c) Gestão de Riscos.
d) Tratamento de Risco.

Resposta: Gestão de Riscos.

Pergunta 4. O compliance é visto como a satisfação de requisitos do ponto de vista

de um sistema de gestão, enquanto o compliance é visto como a satisfação de
requisitos do ponto de vista legal; Isto é:
a) Verdadeiro
b) Falso

Resposta: Verdade.

Pergunta 5. Qual dos itens a seguir não é um requisito ISO/IEC 27001?

(Selecione a melhor resposta)
a) Que os objetivos de segurança da informação sejam comunicados.
b) Documente o plano de tratamento de risco.
c) Que a alta administração promova a melhoria contínua.
d) Ter a função dedicada como Gerente de Segurança da Informação.

Resposta: Ter o papel dedicado como ...

Pergunta 6. Uma verificação física foi implementada no SGSI de um hospital.

Determinaram que o seu controlo específico deve ser medido e garantir que é
medido. Como as cargas de trabalho e os horários estão em constante mudança,
eles não determinaram uma única pessoa para fazer a medição. Isso está de acordo
com a ISO/IEC 27001:
a) Verdadeiro.
b) Falso.
Resposta: Verdade.

Pergunta 7. Uma organização de desenvolvimento de software decidiu terceirizar

seu help desk, que também lida com chamadas de incidentes de segurança. A
organização recebe um relatório do help desk, terceirizado mensalmente, contendo
métricas de desempenho de chamadas que consistem em tempo médio de espera,
tempo ocioso do agente e número médio de chamadas enfileiradas. A organização
usa o relatório como um meio de demonstrar o controle sobre o suporte técnico do
ponto de vista dos requisitos de segurança da informação. Isso está de acordo com a
ISO/IEC 27001?
a) Correto.
b) Falso.

Resposta: Falso.

Pergunta 8. Uma organização tem vários locais executando backups de informações

e determinou que eles precisam documentar seu processo para manter a
consistência e garantir a eficácia. Este documento deve ser: (Selecione a melhor
resposta).
a) Disponível em formato eletrônico e impresso.
b) Uma listagem na matriz mestre do documento.
c) Aprovado pelo Comitê Gestor de Segurança da Informação.
d) Disponível e apropriado para uso, quando e onde necessário.

Resposta: Disponível e apropriado para uso, .....

Pergunta 9. A aprovação do plano de tratamento de risco e aceitação do risco

residual é de responsabilidade de: (Selecione a melhor resposta)
a) Diretor de Informática.
b) Alta administração.
c) Dono do risco.
d) Diretor de Segurança.
Resposta: Dono do risco.

Pergunta 10. De acordo com a ISO/IEC 27001, uma avaliação de risco incluirá:
(Selecione a melhor resposta)
a) Opções para tratamento de risco de segurança.
b) Resultado das medidas de controle.
c) Possibilidade de ocorrência de um risco.
d) Partes interessadas no SGI.

Resposta: Possibilidade de ocorrência de um risco.

Pergunta 11. O escopo do SGSI de uma organização que gira em torno da prestação
de serviços financeiros. Na política de segurança da informação, a alta
administração declarou sua intenção de operar dentro das exigências estaduais e
federais. O restante da política de segurança da informação se concentra em como
a TI fornecerá serviços financeiros. Esta política: (Selecione a melhor resposta)
a) Está em conformidade com a ISO 27001.
b) Ele está em conformidade com a ISO 27001, mas pode ser melhorado.
c) Você não está em conformidade com a ISO 27001.
d) Não se aplica a linhas de negócios específicas.

Resposta: Está satisfeito, mas poderia ser melhorado.

Pergunta 12. O SGSI de um hospital está sujeito a requisitos legais. Do ponto de

vista de um sistema de gestão, a avaliação da conformidade legal consistirá em:
(Selecione a melhor resposta).
a) Analise um comunicado do Conselho de Administração do Hospital estipulando
que manterão os requisitos legais.
b) Confirme se há um processo dentro do hospital para manter o cumprimento dos
requisitos legais e regulamentares.
c) Entre em contato com o departamento jurídico para confirmar que não há
situações legais pendentes.
d) Nenhuma ação adicional, uma vez que as normas ISO lidam apenas com a
conformidade.

Resposta: Confirme se existe um processo...

Pergunta 13. Uma organização que identificou requisitos normativos como um fator
externo e manteve a conformidade normativa como um objetivo de segurança da
informação exigirá o que em sua avaliação de risco: (Selecione a melhor resposta)
a) O risco associado ao não cumprimento das obrigações contratuais.
b) A possibilidade de ser descoberto operando fora dos requisitos regulatórios.
c) As potenciais consequências associadas ao não cumprimento dos requisitos
regulamentares.
d) Um processo documentado para manter a conformidade com os requisitos legais
e regulamentares.

Resposta: As consequências potenciais associadas...

Pergunta 14. Uma organização financeira selecionou suas operações de bolsa de

valores como o escopo de seu SGSI, revisando sua política de segurança da
informação, não pode ser visto onde a organização se compromete a cumprir as
regulamentações de segurança do governo. Isso atende aos requisitos da ISO/IEC
27001?
a) Verdadeiro.
b) Falso.
Pergunta 15. Uma organização fez das operações de processamento de suas
reivindicações o escopo de seu SGSI. Os controles que você selecionou são
determinados em qual processo? (Selecione a melhor resposta.)
a) Tratamento de Risco.
b) Política de Segurança.
c) Avaliação do risco.
d) Revisão Gerencial.

Resposta: Tratamento de Risco.

Pergunta 16. Pode-se dizer que o SGSI de uma organização é eficaz se: (Selecione a
melhor resposta)
a) A gerência deu ao gerente de TI autoridade absoluta sobre a segurança e deu ao
departamento de TI um orçamento limitado.
b) O help desk minimizou sua equipe e eles ainda estão cumprindo seus objetivos.
c) Mostrou que todas as áreas do processo têm planos, metas estabelecidas e
tomadas ações para melhorar.
d) As equipes de auditoria interna e compliance identificaram inúmeras

Resposta: Foi demonstrado que todas as áreas do processo têm...

Pergunta 17. Uma operadora de planos de saúde mantém bancos de dados de

informações confidenciais dos clientes. A consequência potencial da divulgação de
informações privadas de qualquer cliente deve ser abordada em: (Selecione a
melhor resposta)
a) O plano de tratamento de risco.
b) Declaração de missão da organização.
c) Avaliação do risco.
d) O plano de conformidade.

Resposta: Avaliação de risco.

Pergunta 18. Uma organização definiu um processo de avaliação de risco. Este é

empregado anualmente em suas instalações locais e em todas as suas localizações no
exterior. Isso produz consistência e resultados comparáveis?
a) Falso.
b) Verdadeiro.

Resposta: Verdade.

Pergunta 19. Uma organização é composta por dez laboratórios médicos onde os
pacientes vão para testes e estão sob a direção de uma sede. A alta administração
determinou que o escopo de seu SGSI será a proteção de todas as informações
pessoais dos pacientes e cobrirá a sede. Isso atende aos requisitos da ISO/IEC
27001?
a) Verdadeiro.
b) Falso.

Resposta: Falso.
Pergunta 20. Os objetivos de segurança da informação devem ser consistentes com:
(Selecione a melhor resposta)
a) A metodologia de avaliação de riscos.
b) A política de segurança da informação.
c) A declaração de aplicabilidade
d) O plano de tratamento de risco.

Resposta: Política de segurança da informação.

Pergunta 1. Se mudanças significativas ocorrerem ou forem propostas, a

organização deve: (Selecione a melhor resposta.)
a) Tenha um conselho de revisão gerencial.
b) Realizar uma avaliação de risco de segurança da informação.
c) Revise e atualize seus objetivos de segurança da informação.
d) Implemente controles para mitigar o novo risco.

Resposta: Realize uma avaliação de risco de segurança....

Pergunta 2. Se um dos objetivos de segurança da informação de uma organização

era impedir a divulgação não autorizada de informações confidenciais no caso de
um dispositivo portátil ser roubado, os controles selecionados para lidar com o
risco e na Declaração de Aplicabilidade devem incluir: (Selecione a melhor
resposta)
a) Proteção contra malware.
b) Segurança de RH – Pré-contratação.
c) Encriptação.
d) Responsabilidade do Usuário.

Resposta: Criptografia.

Pergunta 3. O escopo de uma auditoria é sempre o mesmo que o escopo do sistema

de gestão.
a) Verdadeiro.
b) Falso.

Resposta: Falso.

Pergunta 4. Para manter a conformidade com os requisitos de licenciamento de

software, uma organização empregará qual controle? (Selecione a melhor
resposta.)
a) A.12.1.4 – Separação dos recursos de desenvolvimento, teste e operação.
b) A.5.1.1 – Políticas de segurança da informação.
c) A.18.1.2 – Direitos de Propriedade Intelectual (DPI)
d) A.9.2.3 – Gestão de privilégios de acesso.

Resposta: DPI.
Pergunta 5. A avaliação de risco de segurança da informação deve ser realizada:
(Selecione a melhor resposta).
a) Semestrais
b) Em intervalos planejados.
c) Anualmente.
d) Apenas conforme indicado pelo Auditor.

Resposta: Em intervalos planejados.

Pergunta 6. O relatório de auditoria será distribuído a:

a) Os destinatários definidos pelo líder da equipe de auditoria.
b) Os destinatários definidos pela política da organização auditada
c) Os destinatários definidos no procedimento ou plano de auditoria.
d) Os destinatários definidos pelo representante da administração da organização
auditada.

Resposta: Os destinatários definidos pelo procedimento ou plano de auditoria.

Pergunta 7. Quais dos seguintes fatores seriam levados em consideração para

determinar a viabilidade de uma auditoria? (Selecione a melhor resposta.)
a) Diretrizes do Oficial de Admissão.
b) Disponibilidade de informações suficientes para planejar a auditoria.
c) Cooperação adequada da equipa de auditoria.
d) Temas relacionados ao relatório de auditoria.

Resposta: Disponibilidade de informações....

Pergunta 8. A Declaração de Aplicabilidade deve conter os controles necessários

para implementar a opção de tratamento de risco escolhida, implementada ou não,
e... (Selecione a melhor resposta)
a) Uma lista de todas as mercadorias às quais se aplicam os controlos e os riscos
associados.
b) Quanto à justificação da selecção dos controlos e à exclusão de quaisquer
controlos
c) Uma lista de todas as políticas e procedimentos associados e os controles aos
quais eles se relacionam.
d) Os valores de risco totais calculados, ordenados do maior para o menor.

Resposta: A justificativa para a seleção dos controles e o ...

Pergunta 9. Os documentos de trabalho do auditor podem incluir: (Selecione a

melhor resposta.)
a) Lista de verificação, planos e formulários de coleta de evidências.
b) Instruções para a instalação a ser auditada
c) Código de conduta do auditor.
d) Identificação, incluindo fotografia.

Resposta: Lista de verificação, desenhos e formatos... Pergunta 10. As informações

aceitas como evidência de auditoria devem ser: (Selecione a melhor resposta).
a) Documentado.
b) Identifique pelo menos duas vezes.
 c) Verificável.
d) Confirmado pelo guia.

Resposta: Verificável.

Pergunta 11. Uma organização fez das operações de vendas o escopo de seu SGSI.
Uma avaliação de risco para as informações de vendas de uma organização deve
incluir: (Selecione a melhor resposta)
a) O risco associado aos vendedores que carregam informações de vendas em seus
laptops.
b) O valor financeiro associado à perda de confidencialidade nas informações de
vendas.
c) Criptografia de nomes e endereços de clientes.
d) Uma política de uso aceitável dos ativos da empresa.

Resposta: O risco associado aos fornecedores transportando as informações....

Pergunta 12. Se uma organização planeja fazer uma alteração em um processo

dentro do escopo de seu SGSI, deve: (Selecione a melhor resposta)
a) Atualize a política de SGSI.
b) Controle de mudança.
c) Atualizar os objetivos do SGSI.
d) Calcule os custos da mudança.

Resposta: Controle a mudança.

Pergunta 13. Os objetivos da auditoria podem incluir:

a) Avaliação da eficácia do sistema de gestão.
b) Manutenção de logs de auditoria.
c) Oferecendo certificação para um padrão.
d) Selecionando um líder de equipe

Resposta: Avaliação da eficácia do sistema de gestão.

Pergunta 14. Uma grande cadeia de distribuição nacional visa garantir que os
clientes possam acessar as informações de suas contas pelo menos 98% do tempo. A
avaliação dos riscos deve: (Selecione a melhor resposta)
a) Inclua o risco associado à disponibilidade das informações.
b) Incluir o risco associado ao desenvolvimento do software do cliente por uma
empresa terceirizada de desenvolvimento.
c) Ser preenchido pelo departamento de TI, uma vez que eles são os guardiões dos
arquivos de contas do cliente.
d) Garantir que a permissão de acesso aos clientes atenda aos requisitos normativos.

Resposta: Inclua o risco associado à disponibilidade de informações.

Pergunta 15. Uma pessoa ou organização que solicita uma auditoria é referida
como: (Selecione a melhor resposta.)
a) Auditor.
b) Equipe de Auditoria.
c) Auditadas.
 d) Cliente de Auditoria.

Resposta: Cliente de Auditoria.

Pergunta 16. O termo "constatação de auditoria" significa automaticamente Não

conformidade.
a) Verdadeiro.
b) Falso

Resposta: Falso.

Pergunta 17. Ao estabelecer um programa de auditoria para um sistema de gestão, a

organização deve priorizar os recursos de auditoria para abordar: (Selecione a
melhor resposta).
a) Risco.
b) Integração aos planos de continuidade de negócios.
c) Necessidades do negócio.
d) Oportunidades de mercado.

Resposta: Risco.

Pergunta 18. Qual controle do Anexo A seria selecionado para mitigar o risco de os
funcionários usarem equipamentos de treinamento de propriedade da organização
para seu uso pessoal? (Selecione a melhor resposta)
a) A.18.2.2 – Conformidade com políticas e normas de segurança.
b) A.72.3 – Processo Disciplinar.
c) A.8.13 – Uso aceitável dos ativos.
d) 1.7.1.2 – Termos e condições de emprego.

Resposta: A.8.1.3 – Uso aceitável de ativos.

Pergunta 19. Que controle poderia ser selecionado para mitigar o risco associado à
atualização de software em servidores corporativos? (Selecione a melhor resposta)
a) A.12.1.2- Gestão de mudanças.
b) A.14.2.2 – Procedimento de controle de mudança de sistema.
c) A.9.4.5 – Controle de acesso ao código-fonte dos programas.
d) A.12.7.1 – Controles de auditoria de sistemas de informação.

Resposta: A.14.2.2 - Procedimento de controle...

Pergunta 20. O relatório de auditoria deve incluir ou referir-se:

a) Uma lista completa de todos os funcionários da organização auditada.
b) Um resumo dos resultados da auditoria.
c) Uma descrição completa e detalhada do processo de auditoria.

d) Uma lista completa de todos os documentos utilizados durante a auditoria.

Resposta: Um resumo dos resultados da auditoria.

Pergunta 1. Quem das seguintes funções é responsável por definir a política e os

objetivos do sistema de gestão de segurança da informação?
a) O comitê de segurança da informação.
b) O Diretor de Segurança da Informação.
c) O representante da Direcção.
d) À alta administração.

Resposta: Alta administração!

Pergunta 2. Ao estabelecer objetivos de segurança da informação, eles devem ser:

a) Consistente com a política de segurança da informação e mensurável.
b) Ser comunicado e atualizado conforme apropriado.
c) Levar em conta os requisitos de segurança da informação aplicáveis e os
resultados da avaliação e tratamento dos riscos.
d) Todos os itens acima.

Resposta: Todos os itens acima.

Pergunta 3. A propriedade das informações pelas quais elas são mantidas é

inacessível e não divulgada a indivíduos, entidades ou processos não autorizados, é?
a) Integridade.
b) Disponibilidade.
c) Veracidade.
d) Confidencialidade.

Resposta: Confidencialidade.

Pergunta 4. A política de segurança da informação, de acordo com o requisito 5.2 da

ISO/IEC 27001, deve:
a) Inclua o papel do representante da Administração.
b) Estar apto ao propósito com a organização.
c) Incluir objetivos de segurança da informação para fornecer uma estrutura para o
seu estabelecimento.
d) Só ai b.

Resposta: Só A e B!!

Pergunta 5. De acordo com o requisito 4.3 da ISO/IEC 27001, para a determinação

do escopo do sistema de gestão de segurança da informação, é necessário:
a) Considerar questões internas e externas pertinentes à organização
b) Identificar as partes interessadas e seus requisitos.
c) Incluir objetivos de segurança da informação
d) Apenas a e b.

Resposta: Apenas Ay B !!

Pergunta 6. Os requisitos de segurança da informação ISO atuais são padrão

padrão?
a) ISO/IEC 27001:2013
b) ISO/IEC 27000:2013
c) Nada disso.
d) ISO/IEC 27001:2005
Resposta: ISO/IEC 27001:2013

Pergunta 7. Um sistema de gestão de segurança da informação consiste em um

conjunto de: políticas, procedimentos, diretrizes, recursos e atividades associados e
gerenciados coletivamente por uma organização em busca da preservação de seus
ativos de informação?
a) Verdadeiro.
b) Falso

Resposta: Verdade.

Pergunta 8. O processo de avaliação de riscos de segurança da informação inclui:

a) Identificação de riscos à segurança da informação
b) Avaliação dos riscos à segurança da informação
c) A análise de riscos de segurança da informação.
d) Todos os itens acima.

Resposta: Todos os itens acima.

Pergunta 9. Para a determinação do contexto da organização, a ISO/IEC 27001

recomenda o uso da metodologia:
a) Pestel.
b) 5 forças de Porter.
c) SWOT ou SWOT.
d) Em nenhum dos itens acima, a norma não recomenda a metodologia a ser
utilizada para a determinação do contexto.

Resposta: Nada disso.

Pergunta 10. As informações documentadas do sistema de gestão de segurança

devem incluir as exigidas pela ISO/IEC 27001 e as determinadas pela própria
organização?
a) Verdadeiro.
b) Falso

Resposta: Verdade.

Pergunta 11. A ISO/IEC 27001 considera as seguintes características de informação:

a) Qualidade, Utilidade e Veracidade.
b) Segurança, integridade e disponibilidade.
c) Confidencialidade, Integridade e Disponibilidade.
d) Nada disso.

Resposta: CIA

Pergunta 12. ¿Qual o objetivo de determinar riscos e oportunidades em sistemas de

gestão de segurança da informação?
a) Garantir que o sistema de gestão de segurança possa alcançar os resultados
esperados.
b) Prevenir ou reduzir efeitos indesejados
 c) Estabeleça o contexto da organização.
d) Apenas a e b

Resposta: Apenas A e B !!

Pergunta 13. A propriedade das informações a serem acessíveis e utilizáveis sob

demanda por uma entidade autorizada é:
a) A confidencialidade das informações.
b) A veracidade das informações
c) A integridade das informações
d) A disponibilidade das informações
e) Nada disso.

Resposta: Disponibilidade

Pergunta 14. Selecione entre as seguintes opções que são alguns dos requisitos da
ISO 27001.
a) Liderança e Trabalho em Equipe
b) Contexto Organizacional, Liderança e Planejamento
c) Trabalho em Equipe, Operação e Melhoria
d) Todos os itens acima.

Resposta: Contexto da Organização, liderança, ..

Pergunta 15. De acordo com a ISO/IEC os critérios sobre riscos de segurança da

informação que devem ser levados em conta são:
a) Os critérios para o estabelecimento de uma matriz de risco.
b) Os critérios de aceitação de riscos e os critérios para a realização da avaliação de
riscos de segurança da informação.
c) Critérios para avaliar a efetividade do tratamento de risco
d) Todos os itens acima.

Resposta: Os critérios de aceitação de risco e os critérios para a realização...

Pergunta 16. A Declaração de Aplicabilidade é o documento que contém os controles
do Anexo A que devem ser implementados para o tratamento de riscos e aqueles
que são excluídos com a devida justificativa?
a) Verdadeiro.
b) Falso.

Resposta: Verdadeiro

Pergunta 17. A competência das pessoas referidas no requisito 7.2 da ISO/IEC

27001 inclui:
a) Competências e habilidades.
b) Educação, formação ou experiência adequadas
c) Que tem pós-graduação
d) Nada disso.

Resposta: Educação, treinamento ou exp...

Pergunta 18. O ciclo de Deming ou geralmente referido como o ciclo de melhoria

contínua, é composto por qual das seguintes etapas:
a) Planejar, Fazer, Verificar e Agir.
b) Planejar, Fazer, Medir e Melhorar.
c) Projetar, implementar, medir, melhorar.
d) Planejar, Melhorar, Implementar e Verificar.

Resposta: PDCA

Pergunta 19. A Propriedade de Exatidão e Completude das Informações refere-se à

completude?
a) Falso
b) Verdadeiro.

Resposta: Verdade.

Pergunta 20. Um compromisso que "deve" ser incluído na política de segurança da

informação é o de melhoria contínua do sistema de gestão de segurança da
informação?
a) Verdadeiro
b) Falso

Resposta: Verdade.

Pergunta 1. A alta administração deve realizar revisões do sistema de gestão de

segurança da informação em intervalos para garantir sua adequação, adequação e
eficácia contínua?
a) NÃO
b) SIM
Pergunta 2. No domínio A.15 da relação com fornecedores, determina-se que:
a) Os fornecedores devem ser certificados pela ISO 27001.
b) Deve haver uma política de segurança da informação no relacionamento com
fornecedores.
c) Auditorias anuais de segurança da informação devem ser realizadas em
fornecedores.
d) Apenas a e c

Resposta: Deve haver uma política de segurança...

Pergunta 3. O descumprimento de uma exigência?

a) Uma observação
b) Uma oportunidade de melhoria.
c) Uma não conformidade
d) Nada disso.

Resposta: Uma inconformidade.

Pergunta 4. Em qual das próximas etapas da gestão de segurança da informação de

recursos humanos, você considera o domínio A.7, a aplicação de controles?
a) Antes do emprego.
b) Durante o emprego.
c) No final do emprego ou mudança de emprego.
d) Todos os itens acima.

Resposta: Todos os itens acima.

Pergunta 5. Quais das seguintes condições fazem parte do domínio A.8, Anexo A da
ISO/IEC 27001.
a) Os ativos de informação devem ser identificados e inventariados.
b) Não há obrigatoriedade de manutenção de inventário de bens.
c) Os ativos devem ser atribuídos a um proprietário.
d) Apenas a e c

Resposta: Apenas A e C.

Pergunta 6. As ações corretivas são usadas para eliminar a causa raiz que gerou
uma não conformidade?
a) NÃO
b) SIM

Resposta: Sim

Pergunta 7. Sobre os resultados da avaliação dos riscos de segurança da

informação, deve-se:
a) Reter informações documentadas
b) Manter informações documentadas
c) Aplicar métodos estatísticos para sua avaliação e análise.
d) Apenas a e b

Respostas: Mantenha as informações documentadas.

Pergunta 8. Para o processo de conscientização da equipe sobre segurança da
informação, deve-se considerar o seguinte:
a) As implicações do não cumprimento do sistema de gestão.
b) Sua contribuição para a eficácia do sistema de segurança da informação
c) A política de segurança da segurança.
d) Todos os itens acima.

Respostas: Todas as respostas.

Pergunta 9. Alguns dos controlos do anexo A da norma ISO/IEC 27001 podem ser
declarados não aplicáveis?
a) Não
b) Sim, mas justificada inaplicabilidade
c) Sim
d) Nada disso.

Resposta: Sim, mas justificando a não aplicabilidade.

Pergunta 10. O domínio A.13 Communications Security visa:

a) Certifique-se de que os recursos e informações de processamento de informações
estejam protegidos contra malware.
b) Garantir a proteção das informações nas redes e nos recursos de processamento
de informações.
c) Garanta o desenvolvimento seguro de software.
d) Garantir o funcionamento correto e seguro das instalações de processamento de
informações.

Resposta: Garantir a proteção das informações nas redes e nos recursos de

processamento da informação.

Pergunta 11. O Anexo A da ISO/IEC 27001 tem 18 domínios?

a) Verdadeiro.
b) Falso.

Resposta: Falso.

Pergunta 12. No domínio A.18 Compliance, um sistema de segurança da

informação deve:
a) Realizar revisões independentes de segurança da informação.
b) Garantir a conformidade legal com o uso de materiais sobre os quais existam
direitos de propriedade intelectual.
c) Cumprir os requisitos legais aplicáveis em matéria de privacidade e proteção de
dados pessoais.
d) Todos os itens acima.

Resposta: Todos os itens acima.

Pergunta 13. As auditorias internas do sistema de gestão de segurança da

informação devem ser realizadas:
a) Mensal.
b) Duas vezes por ano.
 c) Trimestral.
d) Em intervalos planejados.

Resposta: Em intervalos planejados.

Pergunta 14. As informações documentadas sobre os resultados do tratamento dos

riscos de segurança da informação devem ser mantidas?
a) Sim
b) Não.

Resposta: Sim

Pergunta 15. Selecione o termo associado à definição: "necessidade ou expectativa

declarada, geralmente implícita ou obrigatória".
a) Requisito.
b) Conformidade
c) Processo.
d) Confidencialidade.

Resposta: Requerimento.

Pergunta 16. Qual é o objetivo do controle A.12 sobre a segurança das operações?
a) Garantir o funcionamento correto e seguro das instalações de processamento de
informações.
b) Garantir a segurança no teletrabalho e na utilização de dispositivos móveis.
c) Garantir a proteção dos dados de teste.
d) Evitar danos ou perda de ativos de informação.

Resposta: Garantir o funcionamento correto e seguro das instalações de processamento

de informações.

Pergunta 17. Devem ser estabelecidos procedimentos de gestão e gestores para

garantir uma resposta eficaz aos incidentes de segurança da informação? Se sim,
qual controle indica isso?
a) Não
b) Sim, controle A.16
c) Sim, controle A.14
d) Nada disso.

Resposta: Sim, controle A.16.

Pergunta 18. As informações documentadas devem ser controladas considerando os

seguintes aspectos:
a) Armazenamento e preservação
b) Distribuição, acesso, recuperação e utilização.
c) Controle de mudanças, retenção e disposição.
d) Todos os itens acima.

Respostas: Todas as opções acima.

Pergunta 19. O domínio A.9 do anexo A da ISO/IEC 27001 refere-se a:
a) Segurança física e ambiental.
b) Segurança nos processos de desenvolvimento e suporte.
c) Controle de acesso.
d) Criptografia.

Resposta: Controle de acesso.

Pergunta 20. O domínio A.17 determina que:

a) A organização deve ter um plano de recuperação de desastres.
b) A organização deve ter consultoria externa de suporte à continuidade de
negócios
c) A organização de ter um plano de continuidade de negócios.
d) Nada disso.

Resposta: A organização deve ter um plano de continuidade de negócios.