Exercícios de Gestão da Segurança da Informação –
ISO 27001, 27002 e 27005
Módulo 01 : Exercícios CESPE (questões 01 a 50)...
Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 01
Curso disponível em: http://www....
Fernando Palma
Consultor e professor em Governança de TI, Gestão de Serviços de
TI e Gestão da Segurança da Informação.
Me...
O que veremos?
Módulo 01 (este módulo): 50 questões CESPE
Total de 09 aulas
Módulo 02: + 50 questões CESPE*
Em breve: módu...
Estatísticas das questões – geral
Tema Conteúdo Quantidade Percentual
ISO 27001 Seção 00 a 03 4 8%
Seção 04 - SGSI 9 18%
S...
Estatísticas das questões – geral
Controles x diretrizes (total de 28 questões)
14 questões –
50%
14
questões -
50%
Juntos...
Estatísticas das questões – controles e diretrizes
Seção Quantidade Percentual
Seção 5 – Política de Segurança da Informaç...
Dicas para melhor aproveitamento
Você irá se ajudar muito se...
 Realizar o curso do professor Thiago Fagury, no site pro...
Norma Escopo
Visão Geral e Vocabulário
Requisitos de Sistemas de Gestão de Segurança da
Informação
Código de prática para ...
ISO 27001
Norma
ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança...
ANEXO A
ISO 27001
A 5.Política de segurança da informação
A6.Organizando a segurança da informação
A7.Gestão de Ativos
A8....
0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
...
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais
4.2 E...
5. Responsabilidades da direção
5.1 Comprometimento da direção
5.2 Gestão de recursos
5.2.1 Provisão de recursos
5.2.2 Tre...
8. Melhoria do SGSI
8.1. Melhoria contínua
8.2 Ação corretiva
8.3 Ação preventiva
Partes
Interessadas
Expectativas
e requisitos
de
Segurança
da
Informação
Partes
Interessadas
Segurança
da
Informação
Geren...
Anexo A
ISO 27001
A.5.Política de segurança da informação
A.6.Organizando a segurança da informação
A.7.Gestão de Ativos
A...
ISO 27002
Norma ISO
27002
5.Política de segurança da informação
6.Organizando a segurança da informação
7.Gestão de Ativos
8.Seguran...
0. Introdução
0.1. O que é segurança da informação
0.2. Por que a segurança da informação é necessária?
0.3. Como estabele...
3.1. Seções
3.2. Principais categorias de segurança da informação
3. Estrutura desta norma
2. Termos e definições
4. Análi...
5. Política de segurança da informação
6. Organizando a Segurança da Informação
5.1. Política de segurança da Informação (...
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
8.1. Antes da contratação
8.2. Durante a contratação
8.3....
10.Gerenciamento de operações e comunicações
10.1. Procedimentos e responsabilidades operacionais
10.2. Gerenciamento de s...
11. Controle de acesso
11.1. Requisitos de negócio para controle de acesso
11.2. Gerenciamento de acesso do usuário
11.3. ...
12. Aquisição, desenvolvimento e manutenção de
sistemas da informação
12.1. Requisição de segurança de sistemas de informa...
13. Gestão de Incidentes de Segurança da
informação
13.1. Notificação de fragilidades e eventos de segurança da
informação...
15. Conformidade
15.1. Conformidade com requisitos legais
15.2. Conformidade com normas e políticas de segurança da
inform...
ISO 27005
(ISO 27005 - P. 8) Tabela 1 – Alinhamento do processo do SGSI e do
processo de gestão de riscos de segurança da informação...
Fim da aula 01
Professor Fernando Palma
ITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: fpalma@portalgsti.com.br, fernan...
Gestão de segurança da informação para concursos   questões cespe 01
Gestão de segurança da informação para concursos   questões cespe 01
Upcoming SlideShare
Loading in …5
×

Gestão de segurança da informação para concursos questões cespe 01

1,400 views

Published on

Material das aulas de amostra.

Vídeo disponível em : http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,400
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
124
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide
  • Anotações
  • Gestão de segurança da informação para concursos questões cespe 01

    1. 1. Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005 Módulo 01 : Exercícios CESPE (questões 01 a 50) Aula 01- apresentação do módulo Professor Fernando Palma ITIL Expert, ISO 27002 Advanced Management (ISMAS), COBIT, OCEB Contatos: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Exercícios comentados - GSI Seja bem vindo!
    2. 2. Sobre este material Material das aulas de amostra do Módulo 01 – Exercícios CESPE Aula 01 Curso disponível em: http://www.provasdeti.com.br/por- professor/a-m/fernando-palma/gsicespex1-para-concursos.html
    3. 3. Fernando Palma Consultor e professor em Governança de TI, Gestão de Serviços de TI e Gestão da Segurança da Informação. Mestrando em Administração de Empresas, graduado em Sistemas de Informação. Certificado ITIL Expert, ITIL Manager, ISO 27002 Advanced Management (ISMAS), OMG Expert em BPMN, ISO 20.000 Foundation, COBIT Foundation e ISO 27002 Foundation. Treinou mais de 01 mil profissionais em ITIL e COBIT nos últimos 05 anos e trabalha também no segmento de ensino para concursos. É Professor de MBA na UNIJORGE e Ruy Barbosa em disciplinas de Gestão de Serviços de, Governança de TI e Gestão da Segurança da Informação. Atuou como coordenador de TI no Hospital da Bahia, consultor, coordenador de equipe de sistemas e gerente de servicedesk pela Avansys Tecnologia. Fundador e administrador do Portal GSTI: www.portalgsti.com.br Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com Sobre o professor
    4. 4. O que veremos? Módulo 01 (este módulo): 50 questões CESPE Total de 09 aulas Módulo 02: + 50 questões CESPE* Em breve: módulos de exercícios para FCC, ESAF e outras bancas! * Não faz parte deste módulo
    5. 5. Estatísticas das questões – geral Tema Conteúdo Quantidade Percentual ISO 27001 Seção 00 a 03 4 8% Seção 04 - SGSI 9 18% Seção 05 a 08 2 4% ISO 27002 Seção 00 a 04 1 2% Diretrizes 14 28% Controles – Anexo A ISO 27001 ou norma ISO 27002 14 28% ISO 27005 3 6% Outros 3 6% TOTAL 50 100%
    6. 6. Estatísticas das questões – geral Controles x diretrizes (total de 28 questões) 14 questões – 50% 14 questões - 50% Juntos, representam + de 56% das 50 questões
    7. 7. Estatísticas das questões – controles e diretrizes Seção Quantidade Percentual Seção 5 – Política de Segurança da Informação 5 18% Seção 6 – Organizando a Segurança da Informação 2 7% Seção 7 – Gestão de Ativos 2 7% Seção 8 – Segurança em Recursos Humanos 1 3,5% Seção 9 – Segurança Física e do Ambiente 2 7% Seção 10 – Gestão das Operações e Comunicações 5 18% Seção 11 – Controle de Acesso 2 7% Seção 12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 1 3,5% Seção 13 – Gestão de Incidentes de Segurança 2 7% Seção 14 – Gestão da Continuidade do Negócio 4 14% Seção 15 – Conformidade 2 7% TOTAL 28 100%
    8. 8. Dicas para melhor aproveitamento Você irá se ajudar muito se...  Realizar o curso do professor Thiago Fagury, no site provas de TI: 04 módulos  Fizer a leitura das normas antes de resolver as questões  Usar os resumos e mapas mentais extras disponibilizados para quem adquiriu este curso de resolução de exercícios  Apertar pause sempre que a leitura da questão foi concluída
    9. 9. Norma Escopo Visão Geral e Vocabulário Requisitos de Sistemas de Gestão de Segurança da Informação Código de prática para Gestão da Segurança da Informação Diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação Métricas de Sistemas de Gestão de Segurança da Informação Diretrizes para o processo de Gestão de Riscos de Segurança da Informação ISO 27000 ISO 27001 ISO 27002 ISO 27003 ISO 27005 ISO 27004 Mais : http://en.wikipedia.org/wiki/ISO/IEC_27000-series
    10. 10. ISO 27001
    11. 11. Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
    12. 12. ANEXO A ISO 27001 A 5.Política de segurança da informação A6.Organizando a segurança da informação A7.Gestão de Ativos A8.Segurança em recursos humanos A9.Segurança Física e do Ambiente A.10.Gerenciamento de operações e comunicações A.11.Controle de Acesso A.12.Aquisição, desenvolvimento e manutenção de sistemas da informação A.13.Gestão de Incidentes de Segurança da informaçãoA.14. Gestão de Continuidade dos Negócios A.15.Conformidade
    13. 13. 0. Introdução 0.1 Geral 0.2 Abordagem de processo 0.3 Compatibilidade com outros sistemas de gestão 1. Objetivo 1.1 Geral 1.2 Aplicação
    14. 14. 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI 4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI 4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
    15. 15. 5. Responsabilidades da direção 5.1 Comprometimento da direção 5.2 Gestão de recursos 5.2.1 Provisão de recursos 5.2.2 Treinamento, conscientização e competência 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 7.1. Geral 7.2. Entradas para a análise crítica 7.3. Saídas da análise crítica
    16. 16. 8. Melhoria do SGSI 8.1. Melhoria contínua 8.2 Ação corretiva 8.3 Ação preventiva
    17. 17. Partes Interessadas Expectativas e requisitos de Segurança da Informação Partes Interessadas Segurança da Informação Gerenciada 4.2.1 Estabelecimento SGSI 4.2.3. Monitoramento e análise crítica do SGSI 4.2.4. Manutenção e Melhoria do SGSI 4.2.2. Implementação e Operação do SGSI Plan Do Check Act Fernando Palma 4.2 Estabelecendo e gerenciando o SGSI Figura 1 — Modelo PDCA aplicado aos processos do SGSI
    18. 18. Anexo A ISO 27001 A.5.Política de segurança da informação A.6.Organizando a segurança da informação A.7.Gestão de Ativos A.8.Segurança em recursos humanos A.9.Segurança Física e do Ambiente A.10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
    19. 19. ISO 27002
    20. 20. Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
    21. 21. 0. Introdução 0.1. O que é segurança da informação 0.2. Por que a segurança da informação é necessária? 0.3. Como estabelecer requisitos de segurança da informação? 0.4. Analisando/avaliando os riscos de Segurança da Informação 0.5. Seleção de controles 0.6. Ponto de partida para a segurança da informação 0.7. Fatores Críticos de Sucesso 0.8. Desenvolvendo suas próprias diretrizes 1. Objetivo
    22. 22. 3.1. Seções 3.2. Principais categorias de segurança da informação 3. Estrutura desta norma 2. Termos e definições 4. Análise/avaliação de tratamento de riscos 4.1. Analisando/avaliando riscos de segurança da informação 4.2. Tratando Riscos de Segurança da Informação
    23. 23. 5. Política de segurança da informação 6. Organizando a Segurança da Informação 5.1. Política de segurança da Informação (5.1. 1. Documento 5.1.2. Análise crítica) 6.1. Organização interna 6.2. Partes Externas 7. Gestão de ativos 7.1. Responsabilidades pelos ativos 7.2. Classificação das informações
    24. 24. 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 8.1. Antes da contratação 8.2. Durante a contratação 8.3. Encerramento ou mudança da contratação 9.1. Área segura 9.2. Segurança de equipamentos
    25. 25. 10.Gerenciamento de operações e comunicações 10.1. Procedimentos e responsabilidades operacionais 10.2. Gerenciamento de serviços terceirizados 10.3. Planejamento e aceitação dos sistemas 10.4. Proteção contra códigos maliciosos e códigos móveis 10.5. Cópias de segurança 10.6. Gerenciamento da segurança em redes 10.7. Manuseio de mídias 10.8. Troca de informações 10.9. Serviços de comércio eletrônico 10.10. Monitoramento
    26. 26. 11. Controle de acesso 11.1. Requisitos de negócio para controle de acesso 11.2. Gerenciamento de acesso do usuário 11.3. Responsabilidades dos usuários 11.4. Controle de acesso à rede 11.5. Controle de acesso ao sistema operacional 11.6. Controle de acesso à aplicações e a informação 11.7. Computação móvel e trabalho remoto
    27. 27. 12. Aquisição, desenvolvimento e manutenção de sistemas da informação 12.1. Requisição de segurança de sistemas de informação 12.2. Processamento correto nas aplicações 12.3. Controles criptográficos 12.4. Segurança dos arquivos do sistema 12.5. Segurança em processos de desenvolvimento e de suporte 12.6. Gestão de vulnerabilidade técnicas
    28. 28. 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
    29. 29. 15. Conformidade 15.1. Conformidade com requisitos legais 15.2. Conformidade com normas e políticas de segurança da informação e conformidade técnica 15.3. Considerações quanto à auditoria de sistemas de informação
    30. 30. ISO 27005
    31. 31. (ISO 27005 - P. 8) Tabela 1 – Alinhamento do processo do SGSI e do processo de gestão de riscos de segurança da informação Processo SGSI Processo de gestão de riscos de segurança da informação Planejar - estabelecendo o SGSI Definição do contexto Análise/avaliação de riscos Plano de tratamento do risco Aceitação do risco Executar - Implementação e Operação do SGSI Implementação do plano de tratamento do risco Verificar - Monitoramento e análise crítica do SGSI Monitoramento contínuo e análise crítica de riscos Agir - Manutenção e Melhoria do SGSI Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação
    32. 32. Fim da aula 01 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Exercícios comentados - GSI Módulo 01 : Exercícios CESPE (questões 01 a 50)

    ×