Questões

Total de Questões Encontradas: 78

Com fundamento na NBR ISO/IEC 27001 e na NBR ISO/IEC 27005, uma organização decidiu implantar um sistema de gestão de segurança da informação (SGSI), a fim de apoiar o processo de gestão dos riscos, os quais foram listados de acordo com o escopo estabelecido para o SGSI.
Nessa situação, após os riscos serem listados, deve ser executada a fase de
A
definir contexto dos riscos.
B
valorar os ativos.
C
tratar os riscos.
D
definir critérios de aceitação dos riscos.
E
compartilhar os riscos.
Segundo a NBR ISO/IEC 27005, a opção de tratamento de risco que consiste na possibilidade de aceitação do ônus da perda ou do benefício do ganho associado a determinado risco é denominada
A
redução do risco.
B
retenção do risco
C
ação de evitar o risco.
D
compartilhamento do risco.
E
transferência do risco.
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
A equipe de analistas de segurança da informação de um órgão do judiciário federal participou de uma atividade de capacitação conduzida por uma empresa de consultoria em controle de acessos, tendo sido submetida a uma avaliação preliminar de seus conhecimentos sobre esse tema. A avaliação baseou-se em debate mediado pelos membros da consultoria, durante o qual os membros da equipe de segurança discutiram com os usuários de TI um conjunto de afirmações acerca da melhor forma de aprimorar o controle de acessos no órgão. Várias ponderações conduzidas pelos consultores eram deliberadamente errôneas, e algumas, verdadeiras. A equipe de analistas de segurança e os usuários de TI deveriam identificar as ponderações erradas e as verdadeiras.

Considerando que as opções a seguir apresentam ponderações dos consultores, assinale a opção que apresenta ponderação correta, com base nos conceitos do controle de acessos e nas normas da ISO/IEC 27001, 27002 e 27005.
A
A segregação de regras de controle de acessos no órgão é fundamentada na ideia de que o atendimento a pedidos de acesso, a autorização dos acessos propriamente ditos e a administração dos acessos são realizados por uma mesma pessoa no órgão
B
A abordagem e o desenho dos controles de acesso físico e lógico no órgão deve ser feita de forma independente
C
A autenticação baseada em três fatores é válida unicamente para sistemas de controle de acesso lógico, e não para sistemas de controle de acesso físico
D
Em aderência aos controles previstos pela norma ISO/IEC 27001, faz-se necessário utilizar a autenticação baseada em dois fatores, tanto no acesso de origem externa à rede quanto no acesso de qualquer usuário ao sistema operacional, desde que esses ativos estejam incluídos em um escopo de implantação de um sistema de gestão da segurança da informação
E
Para que os controles de acessos físico e lógico sejam implementados de forma consistente em diferentes sistemas e redes do órgão, é recomendada a prévia classificação, quanto à segurança necessária, dos ativos de informação a eles relacionados
Ano: 2016 Banca: CESPE Órgão: TRE-PI Prova: Analista Judiciário - Análise de Sistemas
Considere que a equipe composta por quatro analistas de sistemas de um órgão do judiciário federal brasileiro deva desenvolver um plano de implantação da gerência de riscos de segurança da informação nesse órgão. Acerca das atividades que podem ser realizadas pela equipe, e considerando os conceitos de gerência de riscos, de classificação e controle dos ativos de informação, e a norma ISO/IEC 27005, é correto afirmar que essa equipe
A
deve produzir ou obter a lista de processos de negócios aos quais estarão vinculados os demais ativos de informação a serem identificados na atividade de identificação de riscos
B
deve particionar entre os quatro membros a responsabilidade pelo desempenho dos seguintes papéis, entre outros: identificação e análise das partes interessadas, estabelecimento de ligações com as funções de gerência de riscos de alto nível, especificação dos critérios para a avaliação dos riscos, estimativa de impactos e aceitação do risco para a organização
C
deve aplicar uma metodologia de análise quantitativa de riscos, excluindo a aplicação de uma metodologia qualitativa
D
deve implantar o sistema de gestão de segurança da informação, antes de desenvolver o plano de gestão de riscos
E
deve particionar entre seus quatro membros a responsabilidade da execução simultânea das seguintes atividades: definição do escopo, identificação dos riscos, tratamento dos riscos e comunicação do risco
Ano: 2015 Banca: CESPE Órgão: TJDFT Prova: Analista Judiciário - Análise de Sistemas
Com relação à gestão de segurança da informação, julgue os itens a seguir.
A norma ISO/IEC 27005 determina que, se uma ameaça tem valor constante, o impacto resultante será o mesmo para todos os ativos, independentemente de qual deles seja afetado.
C
Certo
E
Errado
Segundo a norma NBR ISO/IEC 27005:2011, que trata da Gestão de Riscos de Segurança da Informação,
A
atividades de tratamento de riscos só podem ser realizadas uma vez no processo de Gestão de Riscos.
B
a atividade de análise/avaliação de riscos é composta pelas sub-atividades: identificar os riscos, estimar os riscos, classificar os riscos e responder aos riscos.
C
atividades de análise/avaliação de riscos só podem ser realizadas uma vez no processo de Gestão de Riscos.
D
as opções de tratamento do risco são: reduzir o risco, reter o risco, evitar o risco e ignorar o risco.
E
a atividade de tratamento do risco será iniciada somente se a avaliação do risco for satisfatória.
Ano: 2015 Banca: CESPE Órgão: STJ Prova: Analista Judiciário - Infraestrutura
Texto Associado Texto Associado
Com base nas normas ISO 27001, ISO 27002, ISO 27003, ISO 27004 e ISO 27005, relativas à segurança de ativos de informação das organizações, julgue os itens a seguir.
De acordo com a norma ISO 27005, na estimativa de riscos, podem ser aplicadas metodologias qualitativas para a identificação de riscos.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Gestão - GERENTE DE PROJETOS
Texto Associado Texto Associado
Com relação a norma ISO/IEC 27005, julgue os itens subsequentes.
O conteúdo da norma ISO/IEC 27005 influenciou a criação de outras normas, tais como a ISO/IEC 27001 e ISO/IEC 27002.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Gestão - GERENTE DE PROJETOS
Texto Associado Texto Associado
Com relação a norma ISO/IEC 27005, julgue os itens subsequentes.
Ativos de suporte representam as informações, os processos e as atividades de negócio.
C
Certo
E
Errado
Ano: 2015 Banca: CESPE Órgão: MEC Prova: Gestão - GERENTE DE PROJETOS
Texto Associado Texto Associado
Com relação a norma ISO/IEC 27005, julgue os itens subsequentes.
Requisitos legais, regulatórios e contratuais estão entre os critérios para a escolha dos controles para tratamento do risco.
C
Certo
E
Errado
Página 1 de 8