SlideShare une entreprise Scribd logo
1  sur  31
Télécharger pour lire hors ligne
Exercícios de Gestão da Segurança da Informação –
ISO 27001, 27002 e 27005
Também: ISO 27003 e 27004
Módulo 01 : Exercícios CESPE (questões 01 a 50)
Aula 04
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Exercícios comentados
Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 04
Curso disponível em: http://www.provasdeti.com.br/por-
professor/a-m/fernando-palma/gsicespex1-para-concursos.html
Questão 14
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é
necessário o estabelecimento de um plano de gestão de
continuidade do negócio; entretanto, os testes e as
atualizações desse plano são desnecessários.
Certo Errado
Questão 14 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é
necessário o estabelecimento de um plano de gestão de
continuidade do negócio; entretanto, os testes e as
atualizações desse plano são desnecessários.
Certo Errado
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
Questão 14 - comentários
“Em sistemas de gestão de segurança da informação, é necessário o
estabelecimento de um plano de gestão de continuidade do negócio; entretanto,
os testes e as atualizações desse plano são desnecessários. “– Errado
14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança
da informação
14.1.5. Testes, manutenção e reavaliação dos planos de
Controle - Convém que os planos de continuidade do negócio sejam
testados e atualizados regularmente, de forma a assegurar sua permanente
atualização e efetividade.
Diretrizes - Convém que os testes do plano de continuidade do negócio
assegurem que todos os membros da equipe de recuperação e outras
pessoas relevantes estejam conscientes dos planos e de suas
responsabilidades para a continuidade do negócio e a segurança da
informação, e conheçam as suas atividades quando um plano for acionado.
Questão 15
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
No processo de estabelecimento de um sistema de gestão
de segurança da informação, deve ser definido o escopo,
além de serem analisados e avaliados os riscos.
Certo Errado
Questão 15 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios -
Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002,
julgue os itens a seguir.
No processo de estabelecimento de um sistema de gestão
de segurança da informação, deve ser definido o escopo,
além de serem analisados e avaliados os riscos.
Certo Errado
Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
4.2.2 Implementar e operar o SGSI
4.2.3 Monitorar e analisar criticamente o SGSI
4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação
4.3.1 Geral
4.3.2 Controle de documentos
4.3.3 Controle de registros
Questão 15 - comentários
“No processo de estabelecimento de um sistema de gestão de segurança da
informação, deve ser definido o escopo, além de serem analisados e avaliados os
riscos. “– Certo
4.2.1 Estabelecer o SGSI
“A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das
características do negócio, a organização, sua
localização, ativos e tecnologia, incluindo detalhes e justificativas
para quaisquer exclusões do escopo .
(...)
e) Analisar e avaliar os riscos.
(...)
j) Preparar uma Declaração de Aplicabilidade.”
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar
Complementar - Informática
O sistema de gestão de segurança da informação definido de
acordo com a norma ISO/IEC 27002 adota o modelo plan-do-
check-act, que visa, entre outros objetivos, à melhoria contínua
e à análise crítica do desempenho e da eficácia do sistema de
gestão de segurança da informação.
Certo Errado
Questão 16
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar
Complementar - Informática
O sistema de gestão de segurança da informação definido de
acordo com a norma ISO/IEC 27002 adota o modelo plan-do-
check-act, que visa, entrà melhoria contínua e à análise crítica do
desempenho e da ee outros objetivos, ficácia do sistema de
gestão de segurança da informação.
Certo Errado
Questão 16 - gabarito
Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança
da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A
Objetivos
de controle
e controles
Anexo B
Anexo C
Fernando Palma
0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
Norma ISO 27001
Questão 16 - comentários
“O sistema de gestão de segurança da informação definido de acordo com a
norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros
objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia
do sistema de gestão de segurança da informação.” Errado.
0.2 Abordagem de processo
“(...) A abordagem de processo para a gestão da segurança da
informação apresentada nesta Norma encoraja que seus usuários
enfatizem a importância de: (...)
c) monitoração e análise crítica do desempenho e eficácia do SGSI;
d) melhoria contínua baseada em medições objetivas.
(...) Esta Norma adota o modelo conhecido como "Plan-Do-Check-
Act” (PDCA), que é aplicado para estruturar todos
os processos do SGSI. (...)”
Norma ISO 27001
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de
Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para
manutenção e reavaliação dos planos de continuidade do
negócio, deve haver testes de interrupção e recuperação dos
serviços, em que se identifiquem informações relevantes que
precisam ser atualizadas. Entre essas informações, por serem
desnecessárias, não constam nomes, endereços e telefones de
participantes e estratégias de negócio.
Certo Errado
Questão 17
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para
manutenção e reavaliação dos planos de continuidade do negócio,
deve haver testes de interrupção e recuperação dos serviços, em
que se identifiquem informações relevantes que precisam ser
atualizadas. Entre essas informações, por serem desnecessárias, não
constam nomes, endereços e telefones de participantes e
estratégias de negócio.
Certo Errado
Questão 17 - gabarito
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do
negócio relativos a segurança da informação
Questão 17 - comentários
“Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e
reavaliação dos planos de continuidade do negócio, deve haver testes de
interrupção e recuperação dos serviços, em que se identifiquem informações
relevantes que precisam ser atualizadas. Entre essas informações, por serem
desnecessárias, não constam nomes, endereços e telefones de participantes e
estratégias de negócio. ” Errado.
14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos
negócios
“Diretrizes – (...) Os exemplos de mudanças onde convém que a
atualização dos planos de continuidade do negócio seja considerada são a
aquisição de novos equipamentos, atualização de sistemas e mudanças de:
a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio;
d) localização, instalações e recursos; e) legislação: f) prestadores de
serviços. fornecedores e clientes-chave; g) processos (inclusões e
exclusões); h) risco (operacional e financeiro). (...) "
Prova: CESPE - 2013 - TCE-RO - Analista de Informática
Com relação às políticas de segurança da informação e
à gerência de riscos, julgue os itens a seguir.
A política de segurança da informação deverá ser
analisada criticamente em intervalos planejados,
incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades.
Certo Errado
Questão 18
Prova: CESPE - 2013 - TCE-RO - Analista de Informática
Com relação às políticas de segurança da informação e à
gerência de riscos, julgue os itens a seguir.
A política de segurança da informação deverá ser
analisada criticamente em intervalos planejados,
incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades.
Certo Errado
Questão 18 – gabarito
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de
sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
Questão 18 - comentários
“A política de segurança da informação deverá ser analisada criticamente em
intervalos planejados, incluindo-se na análise as tendências relacionadas a
ameaças e vulnerabilidades. ” Certo.
5.1.2. Análise crítica da política de Segurança da Informação “
Controle – “Convém que a política de segurança da informação seja
analisada criticamente a intervalos planejados ou quando mudanças
significativas ocorrerem, para assegurar a sua contínua pertinência,
adequação e eficácia.”
Diretrizes – “Convém que as entradas para análise crítica pela direção
incluam informações sobre:
a) realimentação das partes interessadas;
b) resultados de análises críticas independentes (...)
g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
Prova: CESPE - 2013 - CNJ - Técnico Judiciário -
Programação de Sistemas
A proteção aos recursos computacionais inclui desde
aplicativos e arquivos de dados até utilitários e o
próprio sistema operacional.
Certo Errado
Questão 19
Prova: CESPE - 2013 - CNJ - Técnico Judiciário -
Programação de Sistemas
A proteção aos recursos computacionais inclui desde
aplicativos e arquivos de dados até utilitários e o
próprio sistema operacional.
Certo Errado
Questão 19 - gabarito
Gestão de segurança da informação para concursos-questões CESPE 04
Questão 19 - comentários
“A proteção aos recursos computacionais inclui desde aplicativos e arquivos de
dados até utilitários e o próprio sistema operacional.” - Certo.
2. Controle de acesso lógico
2.3 Que recursos devem ser protegidos?
“A proteção aos recursos computacionais
inclui desde aplicativos e arquivos de dados até
utilitários e o próprio sistema operacional. Abaixo
serão apresentados os motivos pelos quais esses
recursos devem ser protegidos.”
Boas Práticas em Segurança da Informação 4ª edição - TCU
Exercícios comentados
Fim da aula 04
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com
www.portalgsti.com.br
Módulo 01 : Exercícios CESPE (questões 01 a 50)

Contenu connexe

Tendances

Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Protocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosProtocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosFábio dos Reis
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)Gustavo Zimmermann
 
Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)
Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)
Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)Leinylson Fontinele
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001Amanda Luz
 
CÁLCULO DE SUB-REDES DE FORMA PRÁTICA
CÁLCULO DE SUB-REDES DE FORMA PRÁTICACÁLCULO DE SUB-REDES DE FORMA PRÁTICA
CÁLCULO DE SUB-REDES DE FORMA PRÁTICAAugusto Cezar Pinheiro
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
12 - NBC TA 500 - Evidência de Auditoria
12 - NBC TA 500 - Evidência de Auditoria12 - NBC TA 500 - Evidência de Auditoria
12 - NBC TA 500 - Evidência de AuditoriaMoore Stephens Brasil
 
222097384 aulas-de-rede-tipos-de-servidores
222097384 aulas-de-rede-tipos-de-servidores222097384 aulas-de-rede-tipos-de-servidores
222097384 aulas-de-rede-tipos-de-servidoresMarco Guimarães
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoMarco Mendes
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da InformaçãoFelipe Morais
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosLeinylson Fontinele
 

Tendances (20)

Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Protocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson TreinamentosProtocolo DHCP - Noções básicas - Bóson Treinamentos
Protocolo DHCP - Noções básicas - Bóson Treinamentos
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
Banco de Dados II: Dinâmica de Perguntas e Respostas (aula 4)
 
Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)
Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)
Banco de Dados II Aula 08 - Linguagem de Consulta SQL (Comandos DML)
 
NBR ISO/IEC 27001
NBR ISO/IEC 27001NBR ISO/IEC 27001
NBR ISO/IEC 27001
 
Governança de TI
Governança de TIGovernança de TI
Governança de TI
 
CÁLCULO DE SUB-REDES DE FORMA PRÁTICA
CÁLCULO DE SUB-REDES DE FORMA PRÁTICACÁLCULO DE SUB-REDES DE FORMA PRÁTICA
CÁLCULO DE SUB-REDES DE FORMA PRÁTICA
 
Exemplo de Plano de testes
Exemplo de Plano de testes Exemplo de Plano de testes
Exemplo de Plano de testes
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
Aula 6 - Ataques de Negação de Serviço (DoS e D-DoS)
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
12 - NBC TA 500 - Evidência de Auditoria
12 - NBC TA 500 - Evidência de Auditoria12 - NBC TA 500 - Evidência de Auditoria
12 - NBC TA 500 - Evidência de Auditoria
 
222097384 aulas-de-rede-tipos-de-servidores
222097384 aulas-de-rede-tipos-de-servidores222097384 aulas-de-rede-tipos-de-servidores
222097384 aulas-de-rede-tipos-de-servidores
 
Governança de TI - Aula 6 - intro cobit
Governança de TI - Aula 6 - intro cobitGovernança de TI - Aula 6 - intro cobit
Governança de TI - Aula 6 - intro cobit
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de DadosBanco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
Banco de Dados I - Aula 03 - Conceitos de Sistemas de Banco de Dados
 

En vedette

Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Fernando Palma
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01Fernando Palma
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Rodrigodelimabispo
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Cláudio Dodt
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRodrigo Mesquita
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6jcfarit
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Diego Souza
 
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...Ricardo Luis dos Santos
 
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...Ricardo Luis dos Santos
 
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...Ricardo Luis dos Santos
 
Material de Introdução a ITIL
Material de Introdução a ITIL Material de Introdução a ITIL
Material de Introdução a ITIL Fernando Palma
 

En vedette (20)

Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001Introdução a iso 9001 iso 20000 e iso 27001
Introdução a iso 9001 iso 20000 e iso 27001
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
FATEF - ISO 27001
FATEF - ISO 27001FATEF - ISO 27001
FATEF - ISO 27001
 
Iso20000 mod1
Iso20000 mod1Iso20000 mod1
Iso20000 mod1
 
Gestão de segurança da informação para concursos questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos questões cespe 01
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Certbr pragas
Certbr pragasCertbr pragas
Certbr pragas
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
 
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL.
 
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
Gestão de Serviços de TI e Segurança da Informação: Usando as práticas da ISO...
 
Redes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades VirtuaisRedes Sociais e Comunidades Virtuais
Redes Sociais e Comunidades Virtuais
 
ISO 27001 -6
ISO 27001 -6ISO 27001 -6
ISO 27001 -6
 
Programa Iso 9000 Assespro
Programa Iso 9000 AssesproPrograma Iso 9000 Assespro
Programa Iso 9000 Assespro
 
Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000Gerenciamento de Serviços de TI - ISO\IEC 20000
Gerenciamento de Serviços de TI - ISO\IEC 20000
 
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
Uma Solução para Identificação da Causa Raiz de Problemas no Gerenciamento de...
 
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
Identifying the Root Cause of Failures in IT Changes: Novel Strategies and Tr...
 
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
Identificação Interativa da Causa Raiz de Problemas no Gerenciamento de Mudan...
 
Material de Introdução a ITIL
Material de Introdução a ITIL Material de Introdução a ITIL
Material de Introdução a ITIL
 

Similaire à Gestão de segurança da informação para concursos-questões CESPE 04

Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficenteVanessa Lins
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Augusto Seixas
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Rogério Souza
 
Aula SGA / SGQ / SGI
Aula   SGA / SGQ / SGI Aula   SGA / SGQ / SGI
Aula SGA / SGQ / SGI fabiofm
 
Governança ti tcu - cobit
Governança ti   tcu - cobitGovernança ti   tcu - cobit
Governança ti tcu - cobitGustavo Loureiro
 
Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504Ricardo Zalla
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concursoluanrjesus
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5jcfarit
 
Sistemas de Gestão da Qualidade
Sistemas de Gestão da QualidadeSistemas de Gestão da Qualidade
Sistemas de Gestão da QualidadeGiulianno Sousa
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarArthur Tofolo Washington
 

Similaire à Gestão de segurança da informação para concursos-questões CESPE 04 (20)

Aulão beneficente
Aulão beneficenteAulão beneficente
Aulão beneficente
 
Catalogo parte2
Catalogo parte2Catalogo parte2
Catalogo parte2
 
curso Iso 9000
curso Iso 9000curso Iso 9000
curso Iso 9000
 
ISO9001
ISO9001ISO9001
ISO9001
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1Governancati 110905200921-phpapp01-1
Governancati 110905200921-phpapp01-1
 
Governanca de TI
Governanca de TIGovernanca de TI
Governanca de TI
 
Ferramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de InformaçãoFerramentas de gestão no sector das Tecnologias de Informação
Ferramentas de gestão no sector das Tecnologias de Informação
 
Apostíla ISO 9001 2008
Apostíla ISO 9001 2008Apostíla ISO 9001 2008
Apostíla ISO 9001 2008
 
Aula SGA / SGQ / SGI
Aula   SGA / SGQ / SGI Aula   SGA / SGQ / SGI
Aula SGA / SGQ / SGI
 
Governança ti tcu - cobit
Governança ti   tcu - cobitGovernança ti   tcu - cobit
Governança ti tcu - cobit
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504Trabalho sobre a ISO/IEC 15504
Trabalho sobre a ISO/IEC 15504
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05   segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05   segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Resumo ISO 27002 para Concurso
Resumo ISO 27002 para ConcursoResumo ISO 27002 para Concurso
Resumo ISO 27002 para Concurso
 
ISO 27001 - 5
ISO 27001 - 5ISO 27001 - 5
ISO 27001 - 5
 
Sistemas de Gestão da Qualidade
Sistemas de Gestão da QualidadeSistemas de Gestão da Qualidade
Sistemas de Gestão da Qualidade
 
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case StudyImplementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
 
Kickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementarKickoff-ISO 27001 motivos e como implementar
Kickoff-ISO 27001 motivos e como implementar
 

Plus de Fernando Palma

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...Fernando Palma
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dadosFernando Palma
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoFernando Palma
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino BasicoFernando Palma
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brFernando Palma
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioFernando Palma
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend FrameworkFernando Palma
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na PráticaFernando Palma
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasFernando Palma
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaFernando Palma
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)Fernando Palma
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilFernando Palma
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterFernando Palma
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area NetworkFernando Palma
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na PráticaFernando Palma
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECFernando Palma
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHPFernando Palma
 

Plus de Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves |  C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 

Gestão de segurança da informação para concursos-questões CESPE 04

  • 1. Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005 Também: ISO 27003 e 27004 Módulo 01 : Exercícios CESPE (questões 01 a 50) Aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Exercícios comentados
  • 2. Sobre este material Material das aulas de amostra do Módulo 01 – Exercícios CESPE Aula 04 Curso disponível em: http://www.provasdeti.com.br/por- professor/a-m/fernando-palma/gsicespex1-para-concursos.html
  • 3. Questão 14 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  • 4. Questão 14 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  • 5. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 6. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  • 7. Questão 14 - comentários “Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. “– Errado 14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação 14.1.5. Testes, manutenção e reavaliação dos planos de Controle - Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. Diretrizes - Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado.
  • 8. Questão 15 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  • 9. Questão 15 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  • 10. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  • 11. 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI 4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI 4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
  • 12. Questão 15 - comentários “No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. “– Certo 4.2.1 Estabelecer o SGSI “A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo . (...) e) Analisar e avaliar os riscos. (...) j) Preparar uma Declaração de Aplicabilidade.”
  • 13. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16
  • 14. Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entrà melhoria contínua e à análise crítica do desempenho e da ee outros objetivos, ficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16 - gabarito
  • 15. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  • 16. 0. Introdução 0.1 Geral 0.2 Abordagem de processo 0.3 Compatibilidade com outros sistemas de gestão 1. Objetivo 1.1 Geral 1.2 Aplicação Norma ISO 27001
  • 17. Questão 16 - comentários “O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.” Errado. 0.2 Abordagem de processo “(...) A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: (...) c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas. (...) Esta Norma adota o modelo conhecido como "Plan-Do-Check- Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. (...)” Norma ISO 27001
  • 18. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17
  • 19. Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17 - gabarito
  • 20. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 21. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  • 22. Questão 17 - comentários “Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ” Errado. 14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos negócios “Diretrizes – (...) Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos; e) legislação: f) prestadores de serviços. fornecedores e clientes-chave; g) processos (inclusões e exclusões); h) risco (operacional e financeiro). (...) "
  • 23. Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18
  • 24. Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18 – gabarito
  • 25. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 26. Questão 18 - comentários “A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. ” Certo. 5.1.2. Análise crítica da política de Segurança da Informação “ Controle – “Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.” Diretrizes – “Convém que as entradas para análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes (...) g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
  • 27. Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19
  • 28. Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19 - gabarito
  • 30. Questão 19 - comentários “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.” - Certo. 2. Controle de acesso lógico 2.3 Que recursos devem ser protegidos? “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Abaixo serão apresentados os motivos pelos quais esses recursos devem ser protegidos.” Boas Práticas em Segurança da Informação 4ª edição - TCU
  • 31. Exercícios comentados Fim da aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Módulo 01 : Exercícios CESPE (questões 01 a 50)

Notes de l'éditeur

  1. Anotações