2008 / TCE-CE / Analista Auditoria de Tecnologia de Informação / FCC – ISO/IEC 17799

ORIGEM: 2008, TCE-CE, Analista Auditoria de Tecnologia de Informação, FCC

TAGS: Segurança de Informação

QUESTÂO: Na ABNT NBR ISO/IEC 17799:2005, a Gestão de mudanças é parte integrante da seção 10 que trata

(A) da gestão das operações e comunicações.
(B) da gestão de ativos.
(C) do gerenciamento de privilégios.
(D) da segurança física e do ambiente.
(E) do controle de acesso à aplicação e à informação.

RESPOSTA:
(A)

SOLUÇÂO:

A gestão da mudança faz parte da seção 10, que trata da Gestão das Operações e Comunicações, que tem por objetivo garantir a operação segura e correta dos recursos de processamento da informação. A gestão de mudança, mais especificamente, é o item 10.1.2 da norma, e aparece como sendo um dos procedimentos e responsabiliades operacionais para manutenção da segurança.

10.1) Procedimentos e responsabilidades operacionais;
10.1.1) Documentação dos procedimentos de operação;
10.1.2) Gestão de mudanças;
10.1.3) Segregação de funções;
10.1.4) Separação dos recursos de desenvolvimento, teste e de produção;

Segundo a 17799, convém que a gestão da mudança seja uma atividade integrada e incluir:

  • A manutenção de um registro dos níveis acordados de autorização;
  • A garantia de que as mudanças sejam submetidas por usuários autorizados;
  • A análise crítica dos procedimentos de controle e integridade para assegurar que as mudanças não os comprometam;
  • A identificação de todo software, hardware, informação, entidades em banco de dados que precisam de emendas;
  • A obtenção de aprovação formal para proposta detalhadas antes da implementação;
  • A garantia da aceitação das mudanças por usuários autorizados, antes da implementação;
  • A garantia da atualização da documentação do sistema após conclusão de cada mudança e de que a documentação antiga seja arquivada ou descartada;
  • A manutenção de um controle de versões de todas as atualizações de softwares;
  • A manutenção de uma trilha para auditoria de todas as mudanças solicitadas;
  • A garantia que toda a documentação operacional e procedimentos dos usuários sejam alterados conforme necessário e que se mantenham apropriados; e
  • A garantia que as mudanças sejam implementadas em horários apropriados, sem a perturbação dos processos de negócios cabíveis.

Bons Estudos!

Equipe Handbook de TI

»crosslinked«

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *