(Cesgranrio/Petrobras 2008/Analista de Sistemas Jr/Engenharia de Software) Q.42 – ISO 27001

Conheça os produtos da série Handbook de TI em
http://www.waltercunha.com/loja/index.php?cPath=25

FONTE: Questão 42, Petrobras Junho/2008, Analista de Sistemas Jr – Engenharia de Software, Fundação Cesgranrio

CLASSIFICAÇÂO: Segurança da Informação, Normas de Segurança, ISO 270001

ENUNCIADO:

Nas afirmativas a seguir, sobre a norma ISO 27001, a sigla ISMS se refere a um Sistema de Gerenciamento de Segurança da Informação (Information Security Management System) no contexto de uma organização.

[I] A norma ISO 27001 estabelece uma abordagem do tipo PDCA (Plan, Do, Check, Act) para a definição e manutenção do ISMS.
[II] A norma ISO 27001 prescreve as práticas de implantação e as métricas utilizadas para avaliar o desempenho do ISMS.
[III] Um dos controles listados na norma ISO 27001 preconiza que a organização deve manter contato com grupos especiais de interesse ou outros fóruns e associações profissionais especializados em segurança.
[IV] O ISMS é definido formalmente na ISO 27001 como um conjunto de regras (rules) e boas práticas (best practices) nas áreas de segurança física, autenticação de usuários, autorização de acessos e manutenção de um ambiente controlado para o tratamento e gerenciamento de informação e ativos sensíveis.

Estão corretas APENAS as afirmativas

(A) I e II
(B) I e III
(C) I e IV
(D) II e III
(E) II e IV

RESPOSTA:

Alternativa B
SOLUÇÃO:

A norma ISO 27001 especifica um conjunto de requisitos para o estabelecimento, implantação, monitoração, revisão, manutenção e melhoria de um Sistema de Gestão de gestão, o SGSI também é descrito em termos de processos, os quais são administrados por meio da metodologia PDCA (Plan-Do-Check-Act). Portanto, a alternativa I está correta.

Em última instância, o PDCA tem como objetivo principal garantir a melhoria contínua da gestão da segurança da informação e minimizar os riscos associados à segurança da informação. Pode se dizer que a afirmativa III é correta, tendo em vista que o “contato com grupos especiais de interesse” é uma forma de monitorar e melhorar o SGSI.

Outro aspecto interessante da norma ISO 27001 é a sua aplicabilidade para todos os tipos de organizações, tendo em vista o seu caracter genérico. Comumente a ISO 21001 é definida como um conjunto de melhores práticas para gerenciamento de segurança da informação, o que não é errado, desde que se ressalte que ela trabalha em nível de processos, e não nos níveis mais técnicos. Portanto, a alternativa IV é errada, pois define a norma em questão de maneira muito específica e técnica.

Na norma, por exemplo, você não irá encontrar as melhores práticas para implementação de segurança física para CPDs. No entanto, a norma tem em sua lista de controles um referente a “Segurança física e do ambiente”. O conjunto de controles que são tratados pela ISO 27001 engloba os mostrados a seguir, cabendo a cada organização identificar a relevância de cada um deles para o seu negócio.

Política de segurança
Segurança organizacional
Organização da segurança da informação
Gestão de ativos
Segurança em recursos humanos
Segurança física e do ambiente
Gerenciamento das operações e comunicações
Controle de acesso
Aquisição, manutenção e desenvolvimento de sistemas
Gestão de incidentes de Continuidade do negócio
Conformidade

Por fim, vale lembrar que a norma ISO 27001 pertence a a série (ou família) ISO 27000, que compreende normas relacionadas a Segurança da Informação assim como a série ISO 9000 e a série ISO 14000 estão, respectivamente, para a Qualidade e para a proteção Ambiental. Algumas das normas que compõe a familia 27000, além da 27001, são:

27000 – Overview da família de padrões ISO 27000, glossário e termos comuns
27003 – Guideline para implementação de um SGSI
27004 – Gerenciamento de métricas de 27005 – Implementação de segurança da informação baseada em uma abordagem de gestão de riscos
27006 – Guia para o processo de certificação e registro
27011 – Guidelines para gerenciamento de segurança da informação na indústria de telecomunicações
27034 – Guideline para segurança de aplicações

Conheça os produtos da série Handbook de TI em
http://www.waltercunha.com/loja/index.php?cPath=25

»crosslinked«

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *