NORMAS TÉCNICAS

ISO/IEC 27002:2013
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br

ISO/IEC 27002:2013 – CÓDIGO DE PRÁTICA PARA

CONTROLES DE SEGURANÇA DA INFORMAÇÃO III

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO (SEÇÃO)

Dentro da política de segurança da informação, está a orientação da direção para segu-

rança da informação. Desse modo, há o objetivo de controle, que é prover uma orientação e
apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e
com as leis e regulamentações relevantes.

DIRETO DO CONCURSO
1. (FCC/2017) A Norma ABNT NBR ISO/IEC 27002:2013 recomenda que um conjunto de
políticas de segurança da informação seja definido. Segundo a Norma:
a. é necessário que estas políticas sejam aprovadas por todos os funcionários.
b. estas políticas só devem ser divulgadas e comunicadas aos funcionários internos da
organização.
c. é recomendável contemplar requisitos oriundos de ações operacionais, independente
da estratégia do negócio.
d. só devem ser contemplados requisitos oriundos do ambiente de ameaça da segu-
rança da informação atual.
e. é recomendável que estas políticas contenham requisitos oriundos de regulamenta-
ções, legislação e contratos.

COMENTÁRIO
• Não há nenhuma referência dentro da norma que exija a aprovação por todos os fun-
cionários.
5m
• As políticas devem ser informadas a todos.
• A estratégia de negócio deve ser considerada.
• Além dos requisitos oriundos do ambiente de ameaça da segurança da informação
atual, devem ser considerados também os requisitos do negócio.
• É recomendável que estas políticas contenham requisitos oriundos de regulamenta-
ções, legislação e contratos.
ANOTAÇÕES

www.grancursosonline.com.br 1
 NORMAS TÉCNICAS
ISO/IEC 27002:2013
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br

As políticas para segurança da informação são um controle que está relacionado com o
objetivo de controle. É recomendável que um conjunto de políticas de segurança da informa-
ção seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários
e partes externas relevantes.
10m

DIRETRIZES PARA IMPLEMENTAÇÃO

Convém que no mais alto nível a organização defina uma política de segurança da infor-
mação, que seja aprovada pela direção e estabeleça a abordagem da organização para
gerenciar os objetivos de segurança da informação.
Sendo assim, recomenda-se que a política de segurança da informação contenha decla-
rações relativas à:
a. definição da segurança da informação, objetivos e princípios para orientar todas as
atividades relativas à segurança da informação;
b. atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segu-
rança da informação para os papéis definidos;
c. processos para o tratamento dos desvios e exceções.
Ademais, no nível mais baixo, convém que a política de segurança da informação seja:
apoiada por políticas de tópicos específicos, que exigem a implementação de controles de
segurança e que sejam estruturadas para considerar as necessidades de certos grupos de
interesse dentro da organização ou para cobrir tópicos específicos, como o controle de acesso,
classificação e tratamento da informação, segurança física e do ambiente, tópicos orientados
aos usuários finais (restrições sobre o uso e instalação de software), backup, transferência
15m
da informação, para a proteção contra códigos maliciosos, gerenciamento de vulnerabilida-
des técnicas, controles criptográficos, segurança nas comunicações, proteção e privacidade
da informação de identificação pessoal e relacionamento na cadeia de suprimento.
No que refere à análise crítica das políticas para segurança da informação, que é um
objetivo de controle, convém que as políticas para a segurança da informação sejam analisa-
das criticamente em intervalos planejados (trimestralmente, semestralmente ou anualmente,
por exemplo) ou quando mudanças significativas ocorrerem, para assegurar a sua contínua
pertinência, adequação e eficácia. Além disso, recomenda-se que cada política de segurança
da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvi-
mento, análise crítica e avaliação das políticas de segurança da informação.
ANOTAÇÕES

www.grancursosonline.com.br 2
 NORMAS TÉCNICAS
ISO/IEC 27002:2013
Viu algum erro neste material? Contate-nos em: degravacoes@grancursosonline.com.br

Também se convém que a análise crítica inclua a avaliação de oportunidades para melho-
20m
ria da política de segurança da informação da organização e tenha um enfoque para geren-
ciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às
circunstâncias do negócio, às condições legais, ou ao ambiente de tecnologia. Ademais, é
recomendável que a análise crítica das políticas de segurança da informação leve em con-
sideração os resultados da análise crítica pela direção, assim como seja obtida a aprovação
da direção para a política revisada.

DIRETO DO CONCURSO
2. (CESPE-CEBRASPE/2021) Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano
de continuidade de negócios, julgue o item a seguir.
A análise crítica de políticas de segurança da informação deve apoiar o gerenciamento
da segurança da informação propondo melhorias na política de segurança da infor-
mação em resposta às mudanças no ambiente organizacional, nas circunstâncias do
negócio, nas condições legais ou no ambiente de tecnologia.

COMENTÁRIO
A análise crítica visa apoiar o gerenciamento da segurança de informação, trazendo opor-
tunidades de melhorias em resposta às mudanças no ambiente organizacional, nas cir-
cunstâncias do negócio da organização, nas condições legais ou ainda no ambiente de
tecnologia.

GABARITO
1. E
2. c

�Este material foi elaborado pela equipe pedagógica do Gran Cursos Online, de acordo com a aula
preparada e ministrada pelo professor Jósis Alves.
A presente degravação tem como objetivo auxiliar no acompanhamento e na revisão do conteúdo
ministrado na videoaula. Não recomendamos a substituição do estudo em vídeo pela leitura exclu-
siva deste material.
ANOTAÇÕES

www.grancursosonline.com.br 3