• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Gestão de segurança da informação para concursos-questões CESPE 04
 

Gestão de segurança da informação para concursos-questões CESPE 04

on

  • 295 views

Material das aulas de amostra.

Material das aulas de amostra.

Vídeo disponível em : http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html

Statistics

Views

Total Views
295
Views on SlideShare
294
Embed Views
1

Actions

Likes
2
Downloads
41
Comments
0

1 Embed 1

https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Anotações

Gestão de segurança da informação para concursos-questões CESPE 04 Gestão de segurança da informação para concursos-questões CESPE 04 Presentation Transcript

  • Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005 Também: ISO 27003 e 27004 Módulo 01 : Exercícios CESPE (questões 01 a 50) Aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002, Exin ISO 20000 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Exercícios comentados
  • Sobre este material Material das aulas de amostra do Módulo 01 – Exercícios CESPE Aula 04 Curso disponível em: http://www.provasdeti.com.br/por- professor/a-m/fernando-palma/gsicespex1-para-concursos.html
  • Questão 14 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  • Questão 14 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. Certo Errado
  • Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  • Questão 14 - comentários “Em sistemas de gestão de segurança da informação, é necessário o estabelecimento de um plano de gestão de continuidade do negócio; entretanto, os testes e as atualizações desse plano são desnecessários. “– Errado 14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança da informação 14.1.5. Testes, manutenção e reavaliação dos planos de Controle - Convém que os planos de continuidade do negócio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualização e efetividade. Diretrizes - Convém que os testes do plano de continuidade do negócio assegurem que todos os membros da equipe de recuperação e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação, e conheçam as suas atividades quando um plano for acionado.
  • Questão 15 Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  • Questão 15 - gabarito Prova: CESPE - 2011 - Correios - Analista de Correios - Analista de Sistemas - Suporte de Sistemas Com relação às normas ABNT NBR ISO/IEC 27001 e 27002, julgue os itens a seguir. No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. Certo Errado
  • Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  • 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI 4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI 4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
  • Questão 15 - comentários “No processo de estabelecimento de um sistema de gestão de segurança da informação, deve ser definido o escopo, além de serem analisados e avaliados os riscos. “– Certo 4.2.1 Estabelecer o SGSI “A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo . (...) e) Analisar e avaliar os riscos. (...) j) Preparar uma Declaração de Aplicabilidade.”
  • Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16
  • Prova: CESPE - 2011 - CBM-DF - Oficial Bombeiro Militar Complementar - Informática O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do- check-act, que visa, entrà melhoria contínua e à análise crítica do desempenho e da ee outros objetivos, ficácia do sistema de gestão de segurança da informação. Certo Errado Questão 16 - gabarito
  • Norma ISO 27001 0. Introdução 1. Objetivo 2. Referência normativa 3. Termos e definições 4. Sistema de gestão de segurança da informação 5. Responsabilidades da direção 6. Auditorias internas do SGSI 7. Análise crítica do SGSI pela direção 8. Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Anexo C Fernando Palma
  • 0. Introdução 0.1 Geral 0.2 Abordagem de processo 0.3 Compatibilidade com outros sistemas de gestão 1. Objetivo 1.1 Geral 1.2 Aplicação Norma ISO 27001
  • Questão 16 - comentários “O sistema de gestão de segurança da informação definido de acordo com a norma ISO/IEC 27002 adota o modelo plan-do-check-act, que visa, entre outros objetivos, à melhoria contínua e à análise crítica do desempenho e da eficácia do sistema de gestão de segurança da informação.” Errado. 0.2 Abordagem de processo “(...) A abordagem de processo para a gestão da segurança da informação apresentada nesta Norma encoraja que seus usuários enfatizem a importância de: (...) c) monitoração e análise crítica do desempenho e eficácia do SGSI; d) melhoria contínua baseada em medições objetivas. (...) Esta Norma adota o modelo conhecido como "Plan-Do-Check- Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI. (...)” Norma ISO 27001
  • Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17
  • Prova: CESPE - 2013 - CNJ - Analista Judiciário - Análise de Sistemas Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. Certo Errado Questão 17 - gabarito
  • Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • 13. Gestão de Incidentes de Segurança da informação 13.1. Notificação de fragilidades e eventos de segurança da informação 13.2. Gestão de incidentes de segurança da informação e melhorias 14. Gestão de continuidade do negócio 14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
  • Questão 17 - comentários “Como determina a norma ABNT NBR ISO/IEC 27002, para manutenção e reavaliação dos planos de continuidade do negócio, deve haver testes de interrupção e recuperação dos serviços, em que se identifiquem informações relevantes que precisam ser atualizadas. Entre essas informações, por serem desnecessárias, não constam nomes, endereços e telefones de participantes e estratégias de negócio. ” Errado. 14.1.5. Teste, manutenção e reavaliação dos planos de continuidade dos negócios “Diretrizes – (...) Os exemplos de mudanças onde convém que a atualização dos planos de continuidade do negócio seja considerada são a aquisição de novos equipamentos, atualização de sistemas e mudanças de: a) pessoal; b) endereços ou números telefônicos; c) estratégia de negócio; d) localização, instalações e recursos; e) legislação: f) prestadores de serviços. fornecedores e clientes-chave; g) processos (inclusões e exclusões); h) risco (operacional e financeiro). (...) "
  • Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18
  • Prova: CESPE - 2013 - TCE-RO - Analista de Informática Com relação às políticas de segurança da informação e à gerência de riscos, julgue os itens a seguir. A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. Certo Errado Questão 18 – gabarito
  • Norma ISO 27002 5.Política de segurança da informação 6.Organizando a segurança da informação 7.Gestão de Ativos 8.Segurança em recursos humanos 9.Segurança Física e do Ambiente 10.Gerenciamento de operações e comunicações 11.Controle de Acesso 12.Aquisição, desenvolvimento e manutenção de sistemas da informação 13.Gestão de Incidentes de Segurança da informação 14. Gestão de Continuidade dos Negócios 15.Conformidade
  • Questão 18 - comentários “A política de segurança da informação deverá ser analisada criticamente em intervalos planejados, incluindo-se na análise as tendências relacionadas a ameaças e vulnerabilidades. ” Certo. 5.1.2. Análise crítica da política de Segurança da Informação “ Controle – “Convém que a política de segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.” Diretrizes – “Convém que as entradas para análise crítica pela direção incluam informações sobre: a) realimentação das partes interessadas; b) resultados de análises críticas independentes (...) g) tendências relacionadas com as ameaças e vulnerabilidades (...);”
  • Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19
  • Prova: CESPE - 2013 - CNJ - Técnico Judiciário - Programação de Sistemas A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Certo Errado Questão 19 - gabarito
  • Questão 19 - comentários “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional.” - Certo. 2. Controle de acesso lógico 2.3 Que recursos devem ser protegidos? “A proteção aos recursos computacionais inclui desde aplicativos e arquivos de dados até utilitários e o próprio sistema operacional. Abaixo serão apresentados os motivos pelos quais esses recursos devem ser protegidos.” Boas Práticas em Segurança da Informação 4ª edição - TCU
  • Exercícios comentados Fim da aula 04 Professor Fernando Palma ITIL Expert, COBIT, OCEB, Exin ISO 27002 Contato: fpalma@portalgsti.com.br, fernando.palma@gmail.com www.portalgsti.com.br Módulo 01 : Exercícios CESPE (questões 01 a 50)