Embed Size (px)
DESCRIPTION
Material das aulas de amostra. Vídeo disponível em : http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html
Citation preview
Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005
Também: ISO 27003 e 27004
Módulo 01 : Exercícios CESPE (questões 01 a 50)Aula 04
Professor Fernando PalmaITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000
Contato: [email protected], [email protected] www.portalgsti.com.br
Exercícios comentados
Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 04
Curso disponível em: http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html
Questão 14
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários.
Certo Errado
Questão 14 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.
Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários.
Certo Errado
Norma ISO 27002
6.Organizando a segurança da informação
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
13. Gestão de Incidentes de Segurança da informação
13.1. Notificação de fragilidades e eventos de segurança da informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
Questão 14 - comentários
“Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. “– Errado
14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação
14.1.5. Testes, manutenção e reavaliação dos planos deControle - Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade.Diretrizes - Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado.
Questão 15
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
Questão 15 - gabarito
Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas
Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir.No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
Norma ISO 270010. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A Objetivos de controle e controlesAnexo B
Anexo CFernando Palma
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
Questão 15 - comentários
“No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. “– Certo
4.2.1 Estabelecer o SGSI “A organização deve:a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sualocalização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo .(...)e) Analisar e avaliar os riscos.(...)j) Preparar uma Declaração de Aplicabilidade.”
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática
O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.
Certo Errado
Questão 16
Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática
O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entrà melhoria contínua e à análise crítica do desempenho e da ee outros objetivos, ficácia do sistema de gestão de segurança da informação.
Certo Errado
Questão 16 - gabarito
Norma ISO 270010. Introdução
1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A Objetivos de controle e controlesAnexo B
Anexo CFernando Palma
0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
Norma ISO 27001
Questão 16 - comentários
“O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.” Errado. 0.2 Abordagem de processo “(...) A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: (...) c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas.(...) Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para estruturar todosos processos do SGSI. (...)”
Norma ISO 27001
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio.
Certo Errado
Questão 17
Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas
Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio.
Certo Errado
Questão 17 - gabarito
Norma ISO 27002
6.Organizando a segurança da informação
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
13. Gestão de Incidentes de Segurança da informação
13.1. Notificação de fragilidades e eventos de segurança da informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
Questão 17 - comentários
“Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ” Errado.
14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos negócios“Diretrizes – (...) Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos; e) legislação: f) prestadores de serviços. fornecedores e clientes-chave; g) processos (inclusões e exclusões); h) risco (operacional e financeiro). (...) "
Prova: CESPE - 2013 - TCE-RO - Analista de InformáticaCom relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado
Questão 18
Prova: CESPE - 2013 - TCE-RO - Analista de InformáticaCom relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado
Questão 18 – gabarito
Norma ISO 27002
6.Organizando a segurança da informação
9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
Questão 18 - comentários
“A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. ” Certo.
5.1.2. Análise crítica da política de Segurança da Informação “Controle – “Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.”Diretrizes – “Convém que as entradas para análise crítica pela direção incluam informações sobre:a) realimentação das partes interessadas;b) resultados de análises críticas independentes (...)g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas
A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.
Certo Errado
Questão 19
Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas
A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.
Certo Errado
Questão 19 - gabarito
Questão 19 - comentários
“A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.” - Certo.
2. Controle de acesso lógico 2.3 Que recursos devem ser protegidos?“A proteção aos recursos computacionaisinclui desde aplicativos e arquivos de dados atéutilitários e o próprio sistema operacional. Abaixoserão apresentados os motivos pelos quais essesrecursos devem ser protegidos.”
Boas Práticas em Segurança da Informação 4ª edição - TCU
Exercícios comentados
Fim da aula 04
Professor Fernando PalmaITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: [email protected], [email protected] www.portalgsti.com.br
Módulo 01 : Exercícios CESPE (questões 01 a 50)
