Copy and Edit

Normas de Segurança ISO 27002

Description

ISO27002 (27002FCC) Quiz on Normas de Segurança ISO 27002, created by Marcelo Costa on 18/12/2016.
Marcelo Costa
Quiz by Marcelo Costa, updated more than 1 year ago
Marcelo Costa
Created by Marcelo Costa over 7 years ago
67
1
0

Resource summary

Question 1

Question
Com relação à segurança nas comunicações, a norma ABNT NBR ISO/IEC 27002:2013 possui uma seção que fornece diretrizes, controles e objetivos de controle para assegurar a proteção das informações em redes. Um desses controles recomenda que
Answer
  • a conexão de sistemas às redes deve ser restrita, porém, nessas conexões, não é necessário autenticação.
  • mecanismos de segurança e níveis de serviço sejam identificados e incluídos somente em acordos de serviços de redes providos internamente, excluindo-se terceirizados
  • a responsabilidade operacional pelas redes nunca seja separada das operações dos demais recursos computacionais.
  • o controle de perímetro de domínio de rede seja feito por terceiros especializados.
  • grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes de computadores.

Question 2

Question
De acordo com a norma ABNT NBR ISO/IEC 27002:2013 a política de controle de acesso deve considerar
Answer
  • a disponibilidade de referências de caráter satisfatórias do usuário, por exemplo, uma profissional e uma pessoal.
  • verificações financeiras e verificações de registros criminais do usuário.
  • ações a serem tomadas no caso de o funcionário desrespeitar os requisitos de segurança da informação da organização.
  • a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para dados ou serviços.
  • a confirmação e documentação das qualificações acadêmicas e profissionais do usuário.

Question 3

Question
Baseado nas normas ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, um analista de TI está definindo uma política de controle de acesso às informações e aos recursos de processamento de uma organização. Nesse contexto, estas normas recomendam que
Answer
  • os direitos de acesso dos funcionários às informações e aos recursos de processamento devem ser retirados quando o funcionário for desligado, mas não precisam ser ajustados se o funcionário mudar de cargo.
  • os proprietários de ativos devem analisar criticamente os direitos de acesso dos usuários em intervalos regulares.
  • um processo de registro e cancelamento de usuário, mesmo que informal, deve ser implementado para permitir atribuição de direitos de acesso.
  • os usuários recebam acesso às redes e aos serviços de redes que necessitarem e/ou quiserem utilizar.
  • uma política de controle de acesso deve ser estabelecida, documentada e analisada criticamente, baseada apenas nos requisitos de segurança da informação.

Question 4

Question
Com relação à norma ISO/IEC 27002:2013, está correto afirmar que:
Answer
  • ela indica a necessidade do uso do ciclo PDCA nos processos da organização
  • a revisão de 2013 criou uma seção específica para controles criptográficos
  • não é mais necessário o gerenciamento de ativos, cuja cláusula foi suprimida na revisão de 2013
  • organizações agora podem ser certificadas na última revisão (2013) da ISO 27002
  • ela tem foco no gerenciamento de risco na segurança da informação

Question 5

Question
A norma NBR ISO/IEC 27002:2013 recomenda que seja feita a classificação das informações, proporcionando um nível adequado de proteção. Essa recomendação faz parte da etapa ou seção de
Answer
  • controle de acessos.
  • segurança física e do ambiente.
  • gestão de incidentes da segurança da informação.
  • gerenciamento das operações e comunicações.
  • gestão de ativos.

Question 6

Question
A Norma ISO/IEC 27002:2005, na seção relativa à Segurança em Recursos Humanos, estabelece que: Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as ...... e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos. Corresponde corretamente à lacuna:
Answer
  • diretrizes organizacionais
  • políticas de segurança
  • descrições de cargo
  • tendências profissionais
  • responsabilidades sociais

Question 7

Question
A Norma NBR ISO/IEC 27002:2005 estabelece um código de prática para a gestão da segurança da informação. De acordo com a Norma, parte importante do processo do estabelecimento da segurança é a realização do inventário dos diversos tipos de ativos para as suas devidas proteções. Nesse contexto, e de acordo com a Norma, um exemplo de ativo do tipo intangível é
Answer
  • o plano de continuidade do negócio.
  • o equipamento de comunicação.
  • o serviço de iluminação.
  • a base de dados e arquivos.
  • a reputação da organização.

Question 8

Question
A Norma ABNT NBR ISO/IEC 27002:2005 contém 11 seções de controles de segurança da informação que, juntas, totalizam 39 categorias principais de segurança. Cada seção contém um número de categorias principais de segurança da informação e cada categoria principal de segurança da informação contém
Answer
  • subcategorias relacionadas apresentando cada uma exemplos práticos de utilização dentro das organizações e os resultados obtidos.
  • uma introdução, uma ou mais recomendações de utilização, cuidados necessários na implementação dos controles de segurança da informação e casos de uso prático.
  • uma ou mais diretrizes para implementação dos controles de segurança da informação e metas e objetivos a serem alcançados para cada diretriz.
  • um objetivo de controle que define o que deve ser alcançado e um ou mais controles que podem ser aplicados para se alcançar o objetivo do controle.
  • um conjunto de recomendações testadas e comprovadas em empresas de todos os tamanhos e segmentos que vivenciaram problemas relacionados a riscos de segurança da informação.

Question 9

Question
A seção Gestão de Incidentes de Segurança da Informação da Norma ABNT NBR ISO/IEC 27002:2005 tem como objetivo apresentar recomendações para
Answer
  • resolver de forma definitiva os problemas causados por incidentes de segurança da informação estabelecendo e executando as ações necessárias para minimizar efeitos causados aos dados dos sistemas de informação e comunicação.
  • não permitir a interrupção das atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil, se for o caso.
  • garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação e detectar e resolver incidentes de segurança da informação em tempo hábil.
  • evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.
  • assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.

Question 10

Question
O objetivo de controle que define o que deve ser alcançado na seção que trata da classificação da informação da Norma ABNT NBR ISO/IEC 27002:2005 é "assegurar que a informação receba um nível adequado de proteção". Um dos controles que podem ser aplicados para se alcançar este objetivo diz que convém que a informação seja classificada em termos do seu valor, e I. dos requisitos legais. II. da sensibilidade. III. da criticidade para a organização. IV. do seu tamanho. Está correto o que consta APENAS em
Answer
  • I e III.
  • II e IV.
  • II, III e IV.
  • I e IV.
  • I, II e III.

Question 11

Question
NÃO é uma recomendação contida na seção da Norma ISO/IEC 27002, que trata da estrutura do plano de continuidade do negócio, que
Answer
  • cada plano especifique o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para execução de cada uma das atividades do plano.
  • uma estrutura básica dos planos de continuidade do negócio seja mantida para assegurar que todos os planos sejam coerentes e que haja um único gestor para todos os planos evitando, assim, divergências nas decisões.
  • procedimentos de recuperação para serviços técnicos alternativos, como processamento de informação e meios de comunicação, sejam normalmente de responsabilidade dos provedores de serviços.
  • procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação sejam de responsabilidade dos gestores dos recursos de negócios ou dos processos envolvidos.
  • procedimentos do programa de gestão de mudança da organização sejam incluídos para assegurar que os assuntos de continuidade de negócios estejam sempre direcionados adequadamente.

Question 12

Question
De acordo com a Norma Complementar n.º 06/IN01/DSIC/GSIPR, o programa de gestão de continuidade de negócios de órgão ou entidade da administração pública federal deve ser composto, no mínimo, pelos planos de gerenciamento de incidentes, de continuidade de negócios e de recuperação de negócios.
Answer
  • True
  • False

Question 13

Question
Ainda acerca de política de segurança da informação, julgue os itens a seguir, com base na NBR ISO/IEC 27002. A situação de ações preventivas é uma saída da análise crítica da política de segurança da informação.
Answer
  • True
  • False

Question 14

Question
O uso de equipamentos de UPS (uninterruptible power supply), considerados fornecedores de energia elétrica secundários, é recomendado, de acordo com a norma ABNT NBR ISO/IEC 27.002, para:
Answer
  • da segurança em escritórios, salas e instalações.
  • da segurança de equipamentos.
  • do perímetro de segurança física.
  • de áreas seguras.
  • de trabalho em áreas seguras.

Question 15

Question
Antônio é gestor de segurança da informação do Tribunal Regional do Trabalho da 16a Região e deve gerenciar a segurança da informação baseada na Norma NBR ISO/IEC 27002. De acordo com a Norma, na atribuição de responsabilidades para a segurança da informação,
Answer
  • uma prática comum é indicar um responsável por cada ativo para torná-lo responsável por sua proteção no dia a dia.
  • a responsabilidade pela obtenção dos recursos e a implementação dos controles é do responsável do local.
  • os gestores da empresa devem assumir a responsabilidade global pela implantação da segurança da informação.
  • a atribuição das responsabilidades pela informação deve ser definida de forma independente da política de segurança da informação.
  • pessoas com responsabilidades definidas pela segurança da informação não podem delegar as tarefas para outros usuários.

Question 16

Question
A Norma NBR ISO/IEC 27002:2005 recomenda que os equipamentos tenham uma manutenção correta para assegurar sua disponibilidade e integridade permanentes. De acordo com a Norma, convém que seja levada em consideração, para a manutenção dos equipamentos, a seguinte diretriz:
Answer
  • Sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas.
  • A manutenção e os consertos dos equipamentos sejam realizados somente por pessoal terceirizado, indicado pelo fornecedor.
  • A manutenção seja realizada em intervalos seguindo a regra: equipamentos caros devem ter manutenção a cada 60 dias e equipamentos mais baratos a cada 6 meses.
  • Sejam implementados controles apropriados antes da manutenção, de forma que todas as informações sensíveis sempre sejam eliminadas do equipamento.
  • Sejam atendidas apenas as exigências estabelecidas nas apólices de seguro que não interfiram na programação interna de manutenção definida na empresa.

Question 17

Question
Na NBR ISO/IEC 17799, os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem: I. Proteção de dados e privacidade de informações pessoais. II. Salvaguarda de registros organizacionais. III. Documento da política de segurança da informação. Está INCORRETO o que se afirma em
Answer
  • I.
  • II.
  • III.
  • I e III.
  • I, II e III.

Question 18

Question
Norma que tem como objetivo fornecer recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança de suas organizações, prover base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão de segurança e prover confiança nos relacionamentos entre organizações:
Answer
  • NBR ISO/IEC 27004.
  • NBR ISO/IEC 27003.
  • NBR ISO/IEC 27002.
  • NBR ISO/IEC 27001.
  • NBR ISO/IEC 27000.

Question 19

Question
A categoria de segurança "proteção contra códigos maliciosos e códigos móveis" é descrita pela norma NBR ISO/IEC 17799:2005 na seção
Answer
  • Gestão de incidentes de segurança da informação.
  • Gerenciamento das operações e comunicações.
  • Segurança física e do ambiente.
  • Controle de acessos.
  • Gestão de ativos.

Question 20

Question
Em relação à Gestão de Continuidade de Negócio, devem ser considerados nas diretrizes para desenvolvimento e implementação de planos de contingência, em conformidade com a norma NBR ISO/IEC 27002, que
Answer
  • os procedimentos assegurem que apenas funcionários explicitamente identificados e autorizados estejam liberados para acessar sistemas e dados em produção.
  • as ações de emergência sejam relatadas para a direção e analisadas criticamente de maneira ordenada.
  • a integridade dos sistemas do negócio e seus controles sejam validados na maior brevidade.
  • o planejamento da continuidade de negócios considere a identificação e concordância de todas as responsabilidades e procedimentos da continuidade do negócio e identificação da perda aceitável de informações e serviços.
  • os mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurança da informação sejam quantificados e monitorados.

Question 21

Question
Segundo a Norma ABNT NBR ISO/IEC 27001:2006, para prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização, podem ser aplicados diversos controles. O controle que NÃO está de acordo com o que descreve a Norma é:
Answer
  • As áreas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autori- zadas tenham acesso.
  • Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de pro- cessamento da informação.
  • Pontos de acesso em que pessoas não autorizadas possam entrar nas instalações devem sempre ser isolados dos recursos de processamento da informação.
  • Deve ser projetada e aplicada proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.
  • Deve ser projetada e aplicada proteção física, bem como diretrizes para o trabalho em áreas seguras.
Show full summary Hide full summary

Want to create your own Quizzes for free with GoConqr? Learn more.

Similar

The Norman Conquest 1066-1087
adam.melling
IB Economics SL: Microeconomics
Han Zhang
GCSE AQA Biology 1 Variation, Genetics & Reproduction
Lilac Potato
Key Biology Definitions/Terms
jane zulu
Rights and Responsibilities Flashcards - Edexcel GCSE Religious Studies Unit 8
nicolalennon12
GCSE Chemistry C4 (OCR)
Usman Rauf
Poetry revision quiz
Sarah Holmes
Cells and the Immune System
Eleanor H
PSBD New Edition
Ps Test
Repaso Revalida PR 2016
Rodrigo Lopez
OP doplnovaci otazky
Helen Phamova
Browse Library