Aula 00 Demonstrativa Tjce Analista Ciências Da Computacao Gsi

www.tiparaconcursos.
net Pgina 1 de 45
TJ/CE (Cargo: Analista - Cincias da Computao)
Gesto de segurana da informao Aula 00
Teoria e Exerccios
Professor Leonardo Rangel
AULA 00: NBR ISO/IEC 27.001 e 27.002; classificao e
controle de ativos de informao, segurana de ambientes
fsicos e lgicos, controles de acesso; definio,
implantao e gesto de polticas de segurana e auditoria.
Polticas de segurana: NBR ISO/ IEC 17799, NBR ISO/IEC
27001:2006. (Parte 1)
Sumrio
1. Apresentao do curso. ...................................................................................................... 4
1.1. A Banca. .............................................................................................................................. 4
1.2. Metodologia das aulas. ....................................................................................................... 5
2. Contedo programtico e planejamento das aulas (Cronograma) .................................... 5
3. Introduo........................................................................................................................... 7
3.1. Geral .................................................................................................................................... 7
3.2. Abordagem de processo ..................................................................................................... 7
3.3. Compatibilidade com outros sistemas de gesto ............................................................. 10
4. Objetivo............................................................................................................................. 12
4.1. Geral .................................................................................................................................. 12
4.2. Aplicao ........................................................................................................................... 13
5. Referncia normativa ....................................................................................................... 14
6. Termos e definies .......................................................................................................... 14
6.1. Ativo .................................................................................................................................. 14
6.2. Disponibilidade ................................................................................................................. 14
6.3. Confidencialidade ............................................................................................................. 15
6.4. Segurana da informao ................................................................................................. 15
6.5. Evento de segurana da informao ................................................................................ 15

www.tiparaconcursos.net Pgina 2 de 45
Teoria e Exerccios
6.6. Incidente de segurana da informao ............................................................................ 15
6.7. Sistema de gesto da segurana da informao SGSI ...................................................... 15
6.8. Integridade ........................................................................................................................ 16
6.9. Risco residual .................................................................................................................... 16
6.10. Aceitao do risco ..................................................................................................... 16
6.11. Anlise de riscos ........................................................................................................ 16
6.12. Anlise/avaliao de riscos ....................................................................................... 16
6.13. Avaliao de riscos .................................................................................................... 16
6.14. Gesto de riscos ........................................................................................................ 16
6.15. Tratamento do risco .................................................................................................. 17
6.16. Declarao de aplicabilidade..................................................................................... 17
7. Sistema de gesto de segurana da informao .............................................................. 17
7.1. Requisitos gerais ............................................................................................................... 17
7.2. Estabelecendo e gerenciando o SGSI................................................................................ 18
7.2.1. Estabelecer o SGSI ..................................................................................................... 18
7.2.2. Implementar e operar o SGSI .................................................................................... 21
7.2.3. Monitorar e analisar criticamente o SGSI ................................................................. 22
7.2.4. Manter e melhorar o SGSI ......................................................................................... 23
7.3. Requisitos de documentao ........................................................................................... 25
7.3.1. Geral .......................................................................................................................... 25
7.3.2. Controle de documentos........................................................................................... 26
7.3.3. Controle de registros ................................................................................................. 26
8. Responsabilidades da direo .......................................................................................... 28
8.1. Comprometimento da direo ......................................................................................... 28
8.2. Gesto de recursos ........................................................................................................... 29

Teoria e Exerccios
8.2.1. Proviso de recursos ................................................................................................. 29
8.2.2. Treinamento, conscientizao e competncia ......................................................... 29
9. Auditorias internas do SGSI .............................................................................................. 30
10. Anlise crtica do SGSI pela direo .................................................................................. 31
10.1. Geral .......................................................................................................................... 31
10.2. Entradas para a anlise crtica................................................................................... 31
10.3. Sadas da anlise crtica ............................................................................................. 32
11. Melhoria do SGSI .............................................................................................................. 32
11.1. Melhoria contnua ..................................................................................................... 33
11.2. Ao corretiva ........................................................................................................... 33
11.3. Ao preventiva......................................................................................................... 33
12. Anexo A (Parte 1) (normativo) .......................................................................................... 34
13. Lista das Questes Utilizadas na Aula. ............................................................................. 42
14. Gabarito. ........................................................................................................................... 44

Caros alunos,
Para iniciarmos nossa aula de demonstrao, falarei um pouco sobre mim. Sou
Servidor Pblico Federal a mais de dezoito anos, onde desempenhei vrias funes
relacionadas rea de TI. Nos ltimos seis anos, trabalho na administrao, controle e
segurana de usurios lotados em sessenta e quatro Unidades Gestoras sediadas nos
estados do Rio de Janeiro e Esprito Santo, totalizando mais de cinco mil usurios de
diversos sistemas utilizados pela esfera federal, tais como: SIAFI, SIAFI Web, SIAFI Gerencial,
SIAFI Educacional, SIASG, SIASG Treino, entre outros. Minha formao acadmica teve incio
em 1996 quando terminei a Graduao em Matemtica pela UERJ - Universidade Estadual
do Rio de Janeiro, prossegui em 2000, com o Bacharelado em Cincias da Computao pela
UGF - Universidade Gama Filho. Nos ltimos doze anos, realizei trs cursos de Ps-
Graduao: Docncia do Ensino Superior pela UFRJ - Universidade Federal do Rio de

Teoria e Exerccios
Janeiro, Gesto Estratgica e Negcios pela USP - Universidade de So Paulo e Criptografia e
Segurana em Redes pela UFF - Universidade Federal Fluminense. Sou tambm certificado
PMP, Cobit e Itil.
Venho trabalhando como professor desde 2003 na preparao do profissional de TI
para concursos pblicos (BNDES, Petrobras e subsidirias, BACEN, TCU, SUSEP, Tribunais,
Ministrios Pblicos, Receita Federal, entre outros) e na preparao para os cargos de
Engenharia (BNDES e Petrobras), nos cursos preparatrios para concursos presenciais e
telepresenciais: Academia do Concurso, ACP-SAT, Curso Gabarito, CEAV Concursos, CEGM,
Curso Cefis, Curso Debret, Curso Multiplus, Curso Pla, Canal dos Concursos, Eu vou Passar,
entre outros.

1. Apresentao do curso.
Nosso curso ter como foco atender a necessidade do concurseiro que ir fazer a
prova do Tribunal de Justia do Cear TJ/CE e precisa ter conhecimento sobre o contedo
referente aos tpicos Gesto de segurana da informao, Gesto de riscos, Ataques a redes
de computadores e Polticas de segurana, conforme abaixo descritos.
Gesto de segurana da informao; normas NBR ISO/IEC 27.001 e 27.002;
classificao e controle de ativos de informao, segurana de ambientes fsicos e lgicos,
controles de acesso; definio, implantao e gesto de polticas de segurana e auditoria.
Gesto de riscos: normas NBR ISO/IEC 15.999 e 27.005; planejamento, identificao e
anlise de riscos; plano de continuidade de negcio. Ataques a redes de computadores:
preveno e tratamento de incidentes. Polticas de segurana: NBR ISO/ IEC 17799, NBR
ISO/IEC 27001:2006, NBR ISO/IEC 15408 e polticas de senhas.

1.1. A Banca.
A Cespe/UnB uma banca com grande experincia em provas de concursos
pblicos que tratem das disciplinas de TI, s este ano de 2013, foram mais de uma dezena
de concursos organizados.

Teoria e Exerccios
1.2. Metodologia das aulas.
Teremos aulas expositivas, descritivas e descontradas com aproximadamente 40
pginas por aula, as quais podero variar em quantidade, dependendo do assunto tratado e
da abordagem oferecida, mas tentando sempre manter tal mdia. Fiquem tranquilos,
normalmente acabamos as aulas em muito mais que isso, pois no gosto de economizar no
contedo que cobrado nas provas dos senhores.
Todas as aulas tero uma introduo terica, abrangendo os assuntos tratados, e
uma bateria de exerccios comentados, para fixao do contedo e aprendizado do estilo da
banca.
Abordarei os assuntos desde o bsico at o avanado, para que o aluno iniciante
tenha conhecimento e contato inicial com os tpicos tratados, e o aluno mais experiente
possa se aprofundar atravs da resoluo de questes.
A aplicao dos exerccios poder variar de aula pra aula, de acordo com a
proporo dos assuntos cobrados em questes de provas anteriores.

2. Contedo programtico e planejamento das aulas (Cronograma)
O Contedo programtico est distribudo de forma que, mesmo quem nunca teve
contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela
abordada pela banca.
Pretendo sempre trabalhar os assuntos conforme o nvel da banca, por isso, tudo
que coloco nas aulas cai ou que pode cair na prova.
Aula Contedo a ser trabalhado
Aula 00
Demonstrativa
09/03/2014
NBR ISO/IEC 27.001 e 27.002; classificao e controle de ativos de
informao, segurana de ambientes fsicos e lgicos, controles de
acesso; definio, implantao e gesto de polticas de segurana e
auditoria. Polticas de segurana: NBR ISO/ IEC 17799, NBR ISO/IEC
27001:2006. (Parte 1)
Aula 01
16/03/2014

Teoria e Exerccios
27001:2006. (Parte 2)
Aula 02
23/03/2014
27001:2006. (Parte 3)
Aula 03
30/03/2014
27001:2006. (Parte 4)
Aula 04
06/04/2014
27001:2006. (Parte 5)
Aula 05
13/04/2014
Gesto de riscos: normas NBR ISO/IEC 15.999 e 27.005;
planejamento, identificao e anlise de riscos; plano de
continuidade de negcio. (Parte 1)
Aula 06
20/04/2014
Aula 07
27/04/2014
Aula 08
29/04/2014
continuidade de negcio. (Parte 4) e NBR ISO/IEC 15408.

Teoria e Exerccios
Aula 09
04/05/2014
Ataques a redes de computadores: preveno e tratamento de
incidentes.

Nossa aula de hoje abordar a primeira parte dos assuntos referentes NBR ISO/IEC
27001:2006.
3. Introduo
Estrutura/organizao do assunto na ABNT NBR ISO/IEC 27001/2006:

esperado que estes e os sistemas de apoio mudem com o passar do tempo.
3.1. Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de
Segurana da Informao (SGSI). Convm que a adoo de um SGSI seja uma deciso
estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana,
processos empregados e tamanho e estrutura da organizao. esperado que estes e os
sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um
SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao
simples requer uma soluo de um SGSI simples.
Esta Norma pode ser usada para avaliar a conformidade pelas partes interessadas
internas e externas.
3.2. Abordagem de processo
Esta Norma promove a adoo de uma abordagem de processo para estabelecer e
implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma
organizao.
Uma organizao precisa identificar e gerenciar muitas atividades para funcionar
efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a

Teoria e Exerccios
transformao de entradas em sadas pode ser considerada um processo. Frequentemente
a sada de um processo forma diretamente a entrada do processo seguinte.
A aplicao de um sistema de processos dentro de uma organizao, junto com a
identificao e interaes destes processos, e a sua gesto podem ser consideradas como
"abordagem de processo.
A abordagem de processo para a gesto da segurana da informao apresentada
nesta Norma encoraja que seus usurios enfatizem a importncia de:
a) entendimento dos requisitos de segurana da informao de uma organizao e
da necessidade de estabelecer uma poltica e objetivos para a segurana de informao;
b) implementao e operao de controles para gerenciar os riscos de segurana
da informao de uma organizao no contexto dos riscos de negcio globais da
organizao;
c) monitorao e anlise crtica do desempenho e eficcia do SGSI; e
d) melhoria contnua baseada em medies objetivas.
Esta Norma adota o modelo conhecido como "Plan-Do-Check-Act (PDCA), que
aplicado para estruturar todos os processos do SGSI. A figura 1 ilustra como um SGSI
considera as entradas de requisitos de segurana de informao e as expectativas das partes
interessadas, e como as aes necessrias e processos de segurana da informao
produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm
ilustra os vnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.
A adoo do modelo PDCA tambm refletir os princpios como definidos nas
Diretrizes da OECD (2002) para governar a segurana de sistemas de informao e redes.
Esta Norma prov um modelo robusto para implementar os princpios nessas diretrizes para
direcionar a anlise/avaliao de riscos, especificao e implementao de segurana,
gerenciamento de segurana e reavaliao.
EXEMPLO 1
Um requisito pode significar que violaes de segurana da informao no causem
srios danos financeiros e/ou constrangimentos organizao.
EXEMPLO 2

Teoria e Exerccios
Uma expectativa pode significar que se um incidente grave ocorrer - por exemplo, a
invaso da pgina Internet de comrcio eletrnico de uma organizao - deveria haver
pessoas com treinamento suficiente nos procedimentos apropriados para minimizar o
impacto.

Figura 1 Modelo PDCA aplicado aos processos do SGSI

1. (CESPE - 2013 SERPRO) Com base nas normas de segurana da informao, julgue o
item seguinte.
De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas
essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir
(Act).

Teoria e Exerccios
( ) Certo ( ) Errado
Comentrio:
Gesto de segurana:
A gesto de riscos um processo que inclui a preveno, deteco e resposta a incidentes,
Convm que os participantes adotem uma estratgia continuamente, manuteno, reviso
e auditoria. Todos inclusiva para a gesto da segurana. Estes aspectos so cercados nas
fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir (Act)
Gabarito: CERTO

3.3. Compatibilidade com outros sistemas de gesto
Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004
para apoiar a implementao e a operao de forma consistente e integrada com normas de
gesto relacionadas. Um sistema de gesto adequadamente projetado pode, assim,
satisfazer os requisitos de todas estas normas. A tabela C.1 (abaixo) ilustra a relao entre
as sees desta Norma, da ABNT NBR ISO 9001:2000 e da ABNT NBR ISO 14001:2004.

Teoria e Exerccios

Teoria e Exerccios

Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu
SGSI com requisitos de sistemas de gesto relacionados.
IMPORTANTE - Esta publicao no tem o propsito de incluir todas as clusulas
necessrias a um contrato. Os usurios so responsveis pela sua correta aplicao.
Conformidade com esta Norma por si s no confere imunidade em relao s obrigaes
legais.

4. Objetivo

4.1. Geral
Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos
comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma
especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de
negcio globais da organizao. Ela especifica requisitos para a implementao de controles

Teoria e Exerccios
de segurana personalizados para as necessidades individuais de organizaes ou suas
partes.
O SGSI projetado para assegurar a seleo de controles de segurana adequados
e proporcionados para proteger os ativos de informao e propiciar confiana s partes
interessadas.
NOTA 1 - Convm que referncias a negcio nesta Norma sejam interpretadas, de modo
geral, tendo em vista as atividades que so essenciais aos objetivos de existncia da
organizao.
NOTA 2 - A ABNT NBR ISO/IEC 17799:2005 prov orientao para implementao que pode
ser usada quando da especificao de controles.

4.2. Aplicao
Os requisitos definidos nesta Norma so genricos e pretendido que sejam
aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza. A
excluso de quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no aceitvel
quando uma organizao reivindica conformidade com esta Norma.
Qualquer excluso de controles considerada necessria para satisfazer os critrios
de aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados
foram aceitos pelas pessoas responsveis precisam ser fornecidas. Onde quaisquer
controles sejam excludos, reivindicaes de conformidade a esta Norma no so aceitveis,
a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade
de prover segurana da informao que atenda os requisitos de segurana determinados
pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.
NOTA - Se uma organizao j tiver um sistema de gesto de processo de negcio em
operao (por exemplo, em relao com a ABNT NBR ISO 9001 ou ABNT NBR ISO 14001),
prefervel na maioria dos casos satisfazer os requisitos desta Norma dentro deste sistema
de gesto existente.

2. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre

Teoria e Exerccios
que empregada, refere-se a sistema de gesto da segurana da informao
De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos
deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas
pessoas responsveis por eles.
Comentrio:
1. Objetivo
1.2 Aplicao
Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de
aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram
aceitos pelas pessoas responsveis precisam ser fornecidas.
Gabarito: CERTO

5. Referncia normativa
O documento a seguir referenciado indispensvel para a aplicao desta Norma.
Para referncia datada, aplica-se apenas a edio citada. Para referncia no datada, aplica-
se a ltima edio do documento referenciado (incluindo as emendas).
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao - Tcnicas de segurana -
Cdigo de prtica para a gesto da segurana da informao.

6. Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.
6.1. Ativo
Qualquer coisa que tenha valor para a organizao.
[ISO/IEC 13335-1:2004]

6.2. Disponibilidade
Propriedade de estar acessvel e utilizvel sob demanda por uma entidade
autorizada.
[ISO/IEC 13335-1:2004]

Teoria e Exerccios
6.3. Confidencialidade
Propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
[ISO/IEC 13335-1:2004]
6.4. Segurana da informao
Preservao da confidencialidade, integridade e disponibilidade da informao;
adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no
repdio e confiabilidade, podem tambm estar envolvidas.
[ABNT NBR ISO/IEC 17799:2005]

6.5. Evento de segurana da informao
Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando
uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma
situao previamente desconhecida, que possa ser relevante para a segurana da
informao.
[ISO/IEC TR 18044:2004]

6.6. Incidente de segurana da informao
Um simples ou uma srie de eventos de segurana da informao indesejados ou
inesperados, que tenham uma grande probabilidade de comprometer as operaes do
negcio e ameaar a segurana da informao.
[ISO/IEC TR 18044:2004]

6.7. Sistema de gesto da segurana da informao SGSI
A parte do sistema de gesto global, baseado na abordagem de riscos do negcio,
para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
a segurana da informao.
NOTA - O sistema de gesto inclui estrutura organizacional, polticas, atividades de
planejamento, responsabilidades, prticas, procedimentos, processos e recursos.

Teoria e Exerccios
6.8. Integridade
Propriedade de salvaguarda da exatido e completeza de ativos.
[ISO/IEC 13335-1:2004]
6.9. Risco residual
Risco remanescente aps o tratamento de riscos.
[ABNT ISO/IEC Guia 73:2005]

6.10. Aceitao do risco
Deciso de aceitar um risco.

6.11. Anlise de riscos
Uso sistemtico de informaes para identificar fontes e estimar o risco.

6.12. Anlise/avaliao de riscos
Processo completo de anlise e avaliao de riscos.

6.13. Avaliao de riscos
Processo de comparar o risco estimado com critrios de risco predefinidos para
determinar a importncia do risco.
6.14. Gesto de riscos
Atividades coordenadas para direcionar e controlar uma organizao no que se
refere a riscos.
NOTA - A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de
riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]

Teoria e Exerccios
6.15. Tratamento do risco
Processo de seleo e implementao de medidas para modificar um risco.
NOTA - Nesta Norma o termo controle usado como um sinnimo para medida.

6.16. Declarao de aplicabilidade
Declarao documentada que descreve os objetivos de controle e controles que
so pertinentes e aplicveis ao SGSI da organizao.
NOTA - Os objetivos de controle e controles esto baseados nos resultados e concluses
dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou
regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a
segurana da informao.

7. Sistema de gesto de segurana da informao

7.1. Requisitos gerais
A organizao deve estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades
de negcio globais da organizao e os riscos que ela enfrenta. Para os efeitos desta Norma,
o processo usado est baseado no modelo de PDCA mostrado na figura 1.

Teoria e Exerccios
7.2. Estabelecendo e gerenciando o SGSI
7.2.1. Estabelecer o SGSI
A organizao deve:
a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justificativas para
quaisquer excluses do escopo;
b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a
organizao, sua localizao, ativos e tecnologia que:
1) inclua uma estrutura para definir objetivos e estabelea um direcionamento
global e princpios para aes relacionadas com a segurana da informao;
2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de
segurana contratuais;
3) esteja alinhada com o contexto estratgico de gesto de riscos da organizao
no qual o estabelecimento e manuteno do SGSI iro ocorrer;
4) estabelea critrios em relao aos quais os riscos sero avaliados; e
5) tenha sido aprovada pela direo.
NOTA - Para os efeitos desta Norma, a poltica do SGSI considerada um documento maior
da poltica de segurana da informao. Estas polticas podem estar descritas em um
documento.

c) Definir a abordagem de anlise/avaliao de riscos da organizao.
1) Identificar uma metodologia de anlise/avaliao de riscos que seja adequada
ao SGSI e aos requisitos legais, regulamentares e de segurana da informao, identificados
para o negcio.
2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
aceitveis de risco.
A metodologia de anlise/avaliao de riscos selecionada deve assegurar que as
anlises/avaliaes de riscos produzam resultados comparveis e reproduzveis.
NOTA - Existem diferentes metodologias para anlise/avaliao de riscos. So discutidos
exemplos de metodologias de anlise/avaliao de riscos na ISO/IEC TR 13335-3,

Teoria e Exerccios
Information technology Guidelines for the management of IT Security
Part 3: Techniques for the management of IT security.

d) Identificar os riscos.
1) Identificar os ativos dentro do escopo do SGSI e os proprietrios destes ativos.
O termo 'proprietrio' identifica uma pessoa ou organismo que tenha uma
responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno,
o uso e a segurana dos ativos. O termo 'proprietrio' no significa que a pessoa
realmente tenha qualquer direito de propriedade ao ativo.

2) Identificar as ameaas a esses ativos.
3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.
4) Identificar os impactos que as perdas de confidencialidade, integridade e
disponibilidade podem causar aos ativos.
e) Analisar e avaliar os riscos.
1) Avaliar os impactos para o negcio da organizao que podem resultar de
falhas de segurana, levando em considerao as consequncias de uma perda de
confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de
ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os
controles atualmente implementados.
3) Estimar os nveis de riscos.
4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando
os critrios para aceitao de riscos estabelecidos em 4.2.1 c) 2).
4.2.1 Estabelecer o SGSI
c) Definir a abordagem de anlise/avaliao de riscos da organizao.
2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
aceitveis de risco.

f) Identificar e avaliar as opes para o tratamento de riscos.

Teoria e Exerccios
Possveis aes incluem:
1) aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfaam claramente
s polticas da organizao e aos critrios de aceitao de riscos;
3) evitar riscos; e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores.

g) Selecionar objetivos de controle e controles para o tratamento de riscos.
Objetivos de controle e controles devem ser selecionados e implementados para
atender aos requisitos identificados pela anlise/avaliao de riscos e pelo processo de
tratamento de riscos. Esta seleo deve considerar os critrios para aceitao de riscos
como tambm os requisitos legais, regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como
parte deste processo, como adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A no so exaustivos, e
objetivos de controles e controles adicionais podem tambm ser selecionados.
NOTA - O anexo A contm uma lista detalhada de objetivos de controle e controles que
foram comumente considerados relevantes nas organizaes. Os usurios desta Norma so
direcionados para o anexo A como um ponto de partida para a seleo de controles, para
assegurar que nenhuma opo de controle importante seja negligenciada.

h) Obter aprovao da direo dos riscos residuais propostos.
i) Obter autorizao da direo para implementar e operar o SGSI.
j) Preparar uma Declarao de Aplicabilidade.
Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:
1) Os objetivos de controle e os controles selecionados em 4.2.1 g) e as razes para
sua seleo;
4.2.1 Estabelecer o SGSI
g) Selecionar objetivos de controle e controles para o tratamento de riscos.

Teoria e Exerccios
Objetivos de controle e controles devem ser selecionados e implementados para
atender aos requisitos identificados pela anlise/avaliao de riscos e pelo processo de
tratamento de riscos. Esta seleo deve considerar os critrios para aceitao de riscos
como tambm os requisitos legais, regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como
parte deste processo, como adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A no so exaustivos, e
objetivos de controles e controles adicionais podem tambm ser selecionados.
NOTA - O anexo A contm uma lista detalhada de objetivos de controle e controles
que foram comumente considerados relevantes nas organizaes. Os usurios desta Norma
so direcionados para o anexo A como um ponto de partida para a seleo de controles,
para assegurar que nenhuma opo de controle importante seja negligenciada.
2) Os objetivos de controle e os controles atualmente implementados; e
3) A excluso de quaisquer objetivos de controle e controles do anexo A e a
justificativa para sua excluso.
NOTA - A Declarao de Aplicabilidade prov um resumo das decises relativas ao
tratamento de riscos.
A justificativa das excluses prov uma checagem cruzada de que nenhum controle foi
omitido inadvertidamente.

7.2.2. Implementar e operar o SGSI
A organizao deve:
a) Formular um plano de tratamento de riscos que identifique a ao de gesto
apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de
segurana.
b) Implementar o plano de tratamento de riscos para alcanar os objetivos de
controle identificados, que inclua consideraes de financiamentos e atribuio de papis e
responsabilidades.
c) Implementar os controles selecionados em 4.2.1 g) (J foi descrito
anteriormente) para atender aos objetivos de controle.

Teoria e Exerccios
d) Definir como medir a eficcia dos controles ou grupos de controles selecionados,
e especificar como estas medidas devem ser usadas para avaliar a eficcia dos controles de
modo a produzir resultados comparveis e reproduzveis.
NOTA - A medio da eficcia dos controles permite aos gestores e equipe determinar o
quanto os controles alcanam de forma satisfatria os objetivos de controle planejados.
e) Implementar programas de conscientizao e treinamento.
f) Gerenciar as operaes do SGSI.
g) Gerenciar os recursos para o SGSI.
h) Implementar procedimentos e outros controles capazes de permitir a pronta
deteco de eventos de segurana da informao e resposta a incidentes de segurana da
informao.

7.2.3. Monitorar e analisar criticamente o SGSI
A organizao deve:
a) Executar procedimentos de monitorao e anlise crtica e outros controles
para:
1) prontamente detectar erros nos resultados de processamento;
2) prontamente identificar tentativas e violaes de segurana bem-sucedidas, e
incidentes de segurana da informao;
3) permitir direo determinar se as atividades de segurana da informao
delegadas a pessoas ou implementadas por meio de tecnologias de informao so
executadas conforme esperado;
4) ajudar a detectar eventos de segurana da informao e assim prevenir
incidentes de segurana da informao pelo uso de indicadores; e
5) determinar se as aes tomadas para solucionar uma violao de segurana
da informao foram eficazes.
b) Realizar anlises crticas regulares da eficcia do SGSI (incluindo o
atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de controles de
segurana), levando em considerao os resultados de auditorias de segurana da

Teoria e Exerccios
informao, incidentes de segurana da informao, resultados das medies de eficcia,
sugestes e realimentao de todas as partes interessadas.
c) Medir a eficcia dos controles para verificar que os requisitos de segurana
da informao foram atendidos.
d) Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados
e analisar criticamente os riscos residuais e os nveis de riscos aceitveis identificados,
levando em considerao mudanas relativas a:
1) organizao;
2) tecnologias;
3) objetivos e processos de negcio;
4) ameaas identificadas;
5) eficcia dos controles implementados;
6) eventos externos, tais como mudanas nos ambientes legais ou
regulamentares, alteraes das obrigaes contratuais e mudanas na conjuntura social.
e) Conduzir auditorias internas do SGSI a intervalos planejados.
NOTA - Auditorias internas, s vezes chamadas de auditorias de primeira parte, so
conduzidas por ou em nome da prpria organizao para propsitos internos.

f) Realizar uma anlise crtica do SGSI pela direo em bases regulares para
assegurar que o escopo permanece adequado e que so identificadas melhorias nos
processos do SGSI.
g) Atualizar os planos de segurana da informao para levar em considerao os
resultados das atividades de monitoramento e anlise crtica.
h) Registrar aes e eventos que possam ter um impacto na eficcia ou no
desempenho do SGSI.

7.2.4. Manter e melhorar o SGSI
A organizao deve regularmente:
a) Implementar as melhorias identificadas no SGSI.
b) Executar as aes preventivas e corretivas apropriadas de acordo com 8.2 e 8.3.

Teoria e Exerccios
8 Melhoria do SGSI
8.2 Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades
com os requisitos do SGSI, de forma a evitar a sua repetio. O procedimento
documentado para ao corretiva deve definir requisitos para:
a) identificar no-conformidades;
b) determinar as causas de no-conformidades;
c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades
no ocorram novamente;
d) determinar e implementar as aes corretivas necessrias;
e) registrar os resultados das aes executadas; e
f) analisar criticamente as aes corretivas executadas.

8.3 Ao preventiva
A organizao deve determinar aes para eliminar as causas de no-
conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As
aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas.
O procedimento documentado para ao preventiva deve definir requisitos para:
a) identificar no-conformidades potenciais e suas causas;
b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c) determinar e implementar as aes preventivas necessrias;
d) registrar os resultados de aes executadas; e
e) analisar criticamente as aes preventivas executadas.
A organizao deve identificar mudanas nos riscos e identificar requisitos de
aes preventivas focando a ateno nos riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada com base nos resultados
da anlise/avaliao de riscos.
NOTA - Aes para prevenir no-conformidades freqentemente tm melhor custo-
benefcio que as aes corretivas.

Teoria e Exerccios
Aplicar as lies aprendidas de experincias de segurana da informao de outras
organizaes e aquelas da prpria organizao.
c) Comunicar as aes e melhorias a todas as partes interessadas com um nvel de
detalhe apropriado s circunstncias e, se relevante, obter a concordncia sobre como
proceder.
d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

7.3. Requisitos de documentao
7.3.1. Geral
A documentao deve incluir registros de decises da direo, assegurar que as
aes sejam rastreveis s polticas e decises da direo, e assegurar que os resultados
registrados sejam reproduzveis.
importante que se possa demonstrar a relao dos controles selecionados com os
resultados da anlise/avaliao de riscos e do processo de tratamento de riscos, e
consequentemente com a poltica e objetivos do SGSI.
A documentao do SGSI deve incluir:
a) declaraes documentadas da poltica e objetivos do SGSI;
b) o escopo do SGSI;
c) procedimentos e controles que apoiam o SGSI;
d) uma descrio da metodologia de anlise/avaliao de riscos;
e) o relatrio de anlise/avaliao de riscos;
f) o plano de tratamento de riscos;
g) procedimentos documentados requeridos pela organizao para assegurar o
planejamento efetivo, a operao e o controle de seus processos de segurana de
informao e para descrever como medir a eficcia dos controles;
h) registros requeridos por esta Norma; e
i) a Declarao de Aplicabilidade.
NOTA 1 - Onde o termo "procedimento documentado" aparecer nesta Norma, significa que
o procedimento estabelecido, documentado, implementado e mantido.
NOTA 2 - A abrangncia da documentao do SGSI pode variar de uma organizao para

Teoria e Exerccios
outra devido ao:
Tamanho da organizao e o tipo de suas atividades; e
Escopo e complexidade dos requisitos de segurana e o do sistema gerenciado.
NOTA 3 - Documentos e registros podem estar em qualquer forma ou tipo de mdia.

7.3.2. Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um
procedimento documentado deve ser estabelecido para definir as aes de gesto
necessrias para:
a) aprovar documentos quanto sua adequao antes de sua emisso;
b) analisar criticamente e atualizar, quando necessrio, e reaprovar documentos;
c) assegurar que as alteraes e a situao da reviso atual dos documentos sejam
identificadas;
d) assegurar que as verses pertinentes de documentos aplicveis estejam
disponveis nos locais de uso;
e) assegurar que os documentos permaneam legveis e prontamente
identificveis;
f) assegurar que os documentos estejam disponveis queles que deles precisam e
sejam transferidos, armazenados e finalmente descartados conforme os procedimentos
aplicveis sua classificao;
g) assegurar que documentos de origem externa sejam identificados;
h) assegurar que a distribuio de documentos seja controlada;
i) prevenir o uso no intencional de documentos obsoletos; e
j) aplicar identificao adequada nos casos em que sejam retidos para qualquer
propsito.

7.3.3. Controle de registros
Registros devem ser estabelecidos e mantidos para fornecer evidncias de
conformidade aos requisitos e da operao eficaz do SGSI. Eles devem ser protegidos e
controlados. O SGSI deve levar em considerao quaisquer requisitos legais ou

Teoria e Exerccios
regulamentares pertinentes e obrigaes contratuais. Os registros devem permanecer
legveis, prontamente identificveis e recuperveis. Os controles necessrios para a
identificao, armazenamento, proteo, recuperao, tempo de reteno e disposio de
registros devem ser documentados e implementados.
Devem ser mantidos registros do desempenho do processo como definido em 4.2
(J foi descrito anteriormente) e de todas as ocorrncias de incidentes de segurana da
informao significativos relacionados ao SGSI.
EXEMPLO
Exemplos de registros so: livros de visitantes, relatrios de auditoria e formulrios
de autorizao de acesso preenchidos.

3. (CESPE - 2009 TCU) A respeito do diagrama acima, que apresenta um modelo
conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.
Entre os documentos e registros cujo controle demandado pela norma ABNT NBR ISO/IEC
27001, destacam-se como documentos a declarao da poltica de segurana, o relatrio
de anlise/avaliao de risco e a declarao de aplicabilidade; alm disso, destacam-se
como registros os livros de visitantes, os relatrios de auditoria, as ocorrncias de
incidentes de segurana e outros registros, inclusive de no conformidade.
Comentrio:
4.3 Requisitos de documentao
4.3.1 Geral
A documentao do SGSI deve incluir:
a) declaraes documentadas da poltica e objetivos do SGSI;
b) o escopo do SGSI;

Teoria e Exerccios
c) procedimentos e controles que apoiam o SGSI;
d) uma descrio da metodologia de anlise/avaliao de riscos;
e) o relatrio de anlise/avaliao de riscos;
f) o plano de tratamento de riscos;
g) procedimentos documentados requeridos pela organizao para assegurar o
planejamento efetivo, a operao e o controle de seus processos de segurana de
informao e para descrever como medir a eficcia dos controles;
h) registros requeridos por esta Norma; e
i) a Declarao de Aplicabilidade.

Na norma so citados como exemplos de registros: livros de visitantes, relatrios
de auditoria e formulrios de autorizao de acesso preenchidos.
Gabarito: CERTO

8. Responsabilidades da direo

8.1. Comprometimento da direo
A Direo deve fornecer evidncia do seu comprometimento com o
estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e
melhoria do SGSI mediante:
a) o estabelecimento da poltica do SGSI;
b) a garantia de que so estabelecidos os planos e objetivos do SGSI;
c) o estabelecimento de papis e responsabilidades pela segurana de informao;

Teoria e Exerccios
d) a comunicao organizao da importncia em atender aos objetivos de
segurana da informao e a conformidade com a poltica de segurana de informao, suas
responsabilidades perante a lei e a necessidade para melhoria contnua;
e) a proviso de recursos suficientes para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar o SGSI ;
f) a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis;
g) a garantia de que as auditorias internas do SGSI sejam realizadas; e
h) a conduo de anlises crticas do SGSI pela direo.

8.2. Gesto de recursos
8.2.1. Proviso de recursos
A organizao deve determinar e prover os recursos necessrios para:
a) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI;
b) assegurar que os procedimentos de segurana da informao apoiam os
requisitos de negcio;
c) identificar e tratar os requisitos legais e regulamentares e obrigaes contratuais
de segurana da informao;
d) manter a segurana da informao adequada pela aplicao correta de todos os
controles implementados;
e) realizar anlises crticas, quando necessrio, e reagir adequadamente aos
resultados destas anlises crticas; e
f) onde requerido, melhorar a eficcia do SGSI.

8.2.2. Treinamento, conscientizao e competncia
A organizao deve assegurar que todo o pessoal que tem responsabilidades
atribudas definidas no SGSI seja competente para desempenhar as tarefas requeridas:
a) determinando as competncias necessrias para o pessoal que executa trabalhos
que afetam o SGSI;

Teoria e Exerccios
b) fornecendo treinamento ou executando outras aes (por exemplo, contratar
pessoal competente) para satisfazer essas necessidades;
c) avaliando a eficcia das aes executadas; e
d) mantendo registros de educao, treinamento, habilidades, experincias e
qualificaes.
A organizao deve tambm assegurar que todo o pessoal pertinente esteja
consciente da relevncia e importncia das suas atividades de segurana da informao e
como eles contribuem para o alcance dos objetivos do SGSI.

9. Auditorias internas do SGSI
A organizao deve conduzir auditorias internas do SGSI a intervalos planejados
para determinar se os objetivos de controle, controles, processos e procedimentos do seu
SGSI:
a) atendem aos requisitos desta Norma e legislao ou regulamentaes
pertinentes;
b) atendem aos requisitos de segurana da informao identificados;
c) esto mantidos e implementados eficazmente; e
d) so executados conforme esperado.
Um programa de auditoria deve ser planejado levando em considerao a situao
e a importncia dos processos e reas a serem auditadas, bem como os resultados de
auditorias anteriores. Os critrios da auditoria, escopo, frequncia e mtodos devem ser
definidos. A seleo dos auditores e a execuo das auditorias devem assegurar
objetividade e imparcialidade do processo de auditoria. Os auditores no devem auditar seu
prprio trabalho.
As responsabilidades e os requisitos para planejamento e para execuo de
auditorias e para relatar os resultados e a manuteno dos registros devem ser definidos em
um procedimento documentado.
O responsvel pela rea a ser auditada deve assegurar que as aes sejam
executadas, sem demora indevida, para eliminar as no-conformidades detectadas e suas

Teoria e Exerccios
causas. As atividades de acompanhamento devem incluir a verificao das aes executadas
e o relato dos resultados de verificao.

NOTA - A ABNT NBR ISO 19011:2002 - Diretrizes para auditorias de sistema de gesto da
qualidade e/ou ambiental - pode prover uma orientao til para realizar auditorias
internas do SGSI.

10. Anlise crtica do SGSI pela direo

10.1. Geral
A direo deve analisar criticamente o SGSI da organizao a intervalos planejados
(pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e
eficcia. Esta anlise crtica deve incluir a avaliao de oportunidades para melhoria e a
necessidade de mudanas do SGSI, incluindo a poltica de segurana da informao e
objetivos de segurana da informao. Os resultados dessas anlises crticas devem ser
claramente documentados e os registros devem ser mantidos.

10.2. Entradas para a anlise crtica
As entradas para a anlise crtica pela direo devem incluir:
a) resultados de auditorias do SGSI e anlises crticas;
b) realimentao das partes interessadas;
c) tcnicas, produtos ou procedimentos que podem ser usados na organizao para
melhorar o desempenho e a eficcia do SGSI ;
d) situao das aes preventivas e corretivas;
e) vulnerabilidades ou ameaas no contempladas adequadamente nas
anlises/avaliaes de risco anteriores;

Teoria e Exerccios
f) resultados das medies de eficcia;
g) acompanhamento das aes oriundas de anlises crticas anteriores pela direo;
h) quaisquer mudanas que possam afetar o SGSI; e
i) recomendaes para melhoria.

10.3. Sadas da anlise crtica
As sadas da anlise crtica pela direo devem incluir quaisquer decises e aes
relacionadas a:
a) Melhoria da eficcia do SGSI.
b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos.
c) Modificao de procedimentos e controles que afetem a segurana da
informao, quando necessrio, para responder a eventos internos ou externos que possam
impactar no SGSI, incluindo mudanas de:
1) requisitos de negcio;
2) requisitos de segurana da informao;
3) processos de negcio que afetem os requisitos de negcio existentes;
4) requisitos legais ou regulamentares;
5) obrigaes contratuais; e
6) nveis de riscos e/ou critrios de aceitao de riscos.
d) Necessidade de recursos.
e) Melhoria de como a eficcia dos controles est sendo medida.

11. Melhoria do SGSI

Teoria e Exerccios
11.1. Melhoria contnua
A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da
poltica de segurana da informao, objetivos de segurana da informao, resultados de
auditorias, anlises de eventos monitorados, aes corretivas e preventivas e anlise crtica
pela direo.

11.2. Ao corretiva
A organizao deve executar aes para eliminar as causas de no-conformidades
com os requisitos do SGSI, de forma a evitar a sua repetio. O procedimento documentado
para ao corretiva deve definir requisitos para:
a) identificar no-conformidades;
b) determinar as causas de no-conformidades;
c) avaliar a necessidade de aes para assegurar que aquelas no-conformidades
no ocorram novamente;
d) determinar e implementar as aes corretivas necessrias;
e) registrar os resultados das aes executadas; e
f) analisar criticamente as aes corretivas executadas.

11.3. Ao preventiva
A organizao deve determinar aes para eliminar as causas de no-
conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia. As
aes preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas.
O procedimento documentado para ao preventiva deve definir requisitos para:
a) identificar no-conformidades potenciais e suas causas;
b) avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades;
c) determinar e implementar as aes preventivas necessrias;
d) registrar os resultados de aes executadas; e
e) analisar criticamente as aes preventivas executadas.
A organizao deve identificar mudanas nos riscos e identificar requisitos de aes
preventivas focando a ateno nos riscos significativamente alterados.

Teoria e Exerccios
A prioridade de aes preventivas deve ser determinada com base nos resultados
da anlise/avaliao de riscos.

NOTA - Aes para prevenir no-conformidades frequentemente tm melhor custo-
benefcio que as aes corretivas.

4. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o
item subsequente.
A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais
tecnolgicos que devem ser implementados nos servidores de arquivos e equipamentos de
conectividade, para controle de acesso de usurios maliciosos.
Comentrio:
Na NBR ISO/IEC 27001 os controles de segurana so apenas citados e so muito
abrangentes, e podem ter vrias interpretaes. J a NBR ISO/IEC 27002 contem todos os
controles que 27001 s que com explicaes e exemplos de implementao.
Gabarito: ERRADO

12. Anexo A (Parte 1) (normativo)
Objetivos de controle e controles:
Os objetivos de controle e controles listados na tabela A.1 so derivados
diretamente e esto alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005 -
sees 5 a 15. As listas na tabela A.1 no so exaustivas e uma organizao pode considerar
que objetivos de controle e controles adicionais so necessrios. Os objetivos de controle e
controles desta tabela devem ser selecionados como parte do processo de SGSI
especificado.
A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornecem recomendaes e um
guia de implementao das melhores prticas para apoiar os controles especificados em A.5
a A.15.
Tabela A.1 Objetivos de controle e controles

Teoria e Exerccios

Teoria e Exerccios

Teoria e Exerccios

Teoria e Exerccios

Teoria e Exerccios

Teoria e Exerccios
5. (CESPE - 2013 - TRE-MS) Para proteger uma rea que abriga recursos de processamento
da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou
uma porta com controle de acesso por carto, de modo a que somente os colaboradores
previamente autorizados possam acessar esse ambiente.
Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada
pelo rgo pblico associa-se
a) validao de dados de sada.
b) ao controle de vulnerabilidades.
c) ao controle contra cdigos mveis.
d) ao controle de permetro de segurana fsica.
e) coordenao de segurana da informao.
Comentrio:

Gabarito: D

Teoria e Exerccios

Teoria e Exerccios
6. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as
normas da ABNT, julgue os itens a seguir.
A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que
estabelece orientao para segurana dos cabeamentos de energia e de
telecomunicaes, destacando o modo como esses cabeamentos devem ser protegidos
contra interceptao ou danos.
Comentrio:
Vale destacar que o item foi devidamente retificado, uma vez que "o modo como esses
cabeamentos devem ser protegidos" no responsabilidade da 27001, mas sim da 27002.
Note que a norma 27001 estabelece o que deve ser feito, enquanto a 27002 como deve
ser feito.
Para ratificar tal entendimento, basta observar a letra da norma relativa a essa matria.
Perceba que ela diz que "deve ser protegido", porm no especifica como.
A.9.2.3 Segurana do cabeamento
Controle
O cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos
servios de informaes deve ser protegido contra interceptao ou danos.
Gabarito: ERRADO

13. Lista das Questes Utilizadas na Aula.
1. (CESPE - 2013 SERPRO) Com base nas normas de segurana da informao, julgue o
item seguinte.
De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas
essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir
(Act).

Teoria e Exerccios
2. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre
que empregada, refere-se a sistema de gesto da segurana da informao
De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos
deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas
pessoas responsveis por eles.

3. (CESPE - 2009 TCU) A respeito do diagrama acima, que apresenta um modelo
conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.
Entre os documentos e registros cujo controle demandado pela norma ABNT NBR ISO/IEC
27001, destacam-se como documentos a declarao da poltica de segurana, o relatrio de
anlise/avaliao de risco e a declarao de aplicabilidade; alm disso, destacam-se como
registros os livros de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de
segurana e outros registros, inclusive de no conformidade.

4. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o
item subsequente.
A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais
tecnolgicos que devem ser implementados nos servidores de arquivos e equipamentos de
conectividade, para controle de acesso de usurios maliciosos.

Teoria e Exerccios
5. (CESPE - 2013 - TRE-MS) Para proteger uma rea que abriga recursos de processamento
da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou
uma porta com controle de acesso por carto, de modo a que somente os colaboradores
previamente autorizados possam acessar esse ambiente.
Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada pelo
rgo pblico associa-se
a) validao de dados de sada.
b) ao controle de vulnerabilidades.
c) ao controle contra cdigos mveis.
d) ao controle de permetro de segurana fsica.
e) coordenao de segurana da informao.

6. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as normas
da ABNT, julgue os itens a seguir.
A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que
estabelece orientao para segurana dos cabeamentos de energia e de telecomunicaes,
destacando o modo como esses cabeamentos devem ser protegidos contra interceptao
ou danos.

14. Gabarito.
1. CERTO 4. ERRADO
2. CERTO 5. D
3. CERTO 6. ERRADO
Um assunto um tanto quanto delicado, mas o rateio de material crime e ns no
TIParaConcursos.net no iremos tolerar tal prtica, visto os esforos despendidos pelos
nossos professores e sua respectiva valorizao.
Temos ainda meios de rastrearmos tal realizao em grupos de discusses e redes

Teoria e Exerccios
sociais, de forma que tal prtica seja coibida.
DIREITOS AUTORAIS LEI 10.695/2003 No caso de violao de direitos de autor e
delitos conexos, a pena ser de deteno de trs meses a um ano ou multa. Se a infrao
tiver o intuito de lucro direito ou indireto, o agente poder ser condenado recluso de dois
a quatro anos e multa, tanto na hiptese de distribuio, venda ou aluguel no pas, quanto
no de oferecimento ao pblico via cabo, fibra tica e satlite.
CONCURSEIRO QUE PIRATEIA PODE FICAR IMPEDIDO DE TOMAR POSSE CASO SEJA
PROCESSADO.

Aula 00 Demonstrativa Tjce Analista Ciências Da Computacao Gsi

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Aula 00 Demonstrativa Tjce Analista Ciências Da Computacao Gsi

Cargado por

Copyright:

Formatos disponibles

www.tiparaconcursos.

También podría gustarte