Questões de Concurso

conter o registro dos incidentes de segurança da organização.

revelar informações sensíveis da organização.

ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.

conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.

apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.

Todo equipamento que contenha mídia de armazenamento de informação deve ser destruído para garantir que as informações sensíveis nele armazenadas sejam inacessíveis após seu descarte ou envio para conserto.

Paredes, portões de entrada controlados por cartão e balcões de recepção com recepcionista são os objetos que devem ser utilizados para delimitar um perímetro de segurança física.

As instalações de processamento da informação gerenciadas pela organização devem localizar-se fisicamente separadas daquelas que são gerenciadas por terceiros.

Qualquer esquema de classificação da informação aborda riscos de segurança da informação.

Esquemas de rotulagem e tratamento da informação se aplicam aos ativos de informação em formato físico, ao passo que apenas o controle de acessos se aplica aos ativos de informação em formato lógico.

Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas.

Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.

No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.

A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.

A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.

As vulnerabilidades identificadas para a gestão de riscos são aquelas oriundas de ameaças de origem humana.

O ativo que tem o maior risco de disponibilidade é também aquele que tem o maior nível de risco.

As ameaças, que podem afetar mais de um ativo, são identificadas durante a fase de avaliação de riscos.

A identificação dos ativos ocorre durante a análise de riscos e está sujeita ao escopo previamente estabelecido.

Na estimativa qualitativa de riscos, são utilizadas escalas numéricas para medir a probabilidade de incidentes de segurança.

Aceitar ou reter um risco durante o seu tratamento equivale a transferi-lo.

Os riscos residuais são conhecidos antes da comunicação do risco.

Os riscos são reduzidos ou mitigados sem que ocorra a seleção de controles.

Qualquer atividade de comunicação do risco de segurança da nformação deve ocorrer apenas após a aceitação do plano de ratamento do risco pelos gestores da organização.

A definição do contexto da gestão de riscos deve preceder a identificação dos ativos de valor.