ISO 27001

Question 1

Qual o objetivo da 27001

Answer 1

Estabelecer requisitos para um SGSI

Question 2

Qual o objetivo da 27002

Answer 2

• Código de práticas para implementar SGSI.
• Objetivos de controles de segurança.
• Controles de segurança

Question 3

Qual o objetivo da 27005

Answer 3

Estabelecer normas de gestão de risco para segurança da informação.

Question 4

Qual norma é usada para fins de certificação?

Answer 4

27001

Question 5

Qual norma tem sua implantação mandatória para implantação de um SGSI.

Answer 5

27001

Question 6

27001, seção 0

Answer 6

0. Introdução

Question 7

27001, seção 1

Answer 7

1. Objetivo
   Estabelece requisitos para EIOMAMM um SGSI

Question 8

O atendimento a TODOS requisitos da 27001, seções 4 a 8, é obrigatório?

Answer 8

SIM

Question 9

A adoção de todos os controles prescritos na 27002 é obrigatória?

Answer 9

NÃO, porém deve ser justificado.

Question 10

27001, seção 2

Answer 10

2. Referência normativa

(A 27002 é indispensável para aplicação da 27001)

Question 11

27001, seção 3

Answer 11

3. Termos e definições

Question 12

27001, seção 4

Answer 12

4. SGSI - Sistema de Gestão de Segurança da Informação

Question 13

27001, seção 5

Answer 13

5. Responsabilidades da direção

Question 14

27001, seção 6

Answer 14

6. Auditorias internas do SGSI

• a auditoria deve ser periódica
• quem faz não pode auditor seus próprios trabalhos
• o auditado deve facilitar a auditoria

Question 15

27001, seção 7

Answer 15

7. Análise crítica do SGSI
   * Feita pela direção

Question 16

27001, seção 8

Answer 16

8. Melhorias do SGSI

Question 17

27001, anexo A

Answer 17

Objetivos de controle e controles

(É um anexo normativo)

Question 18

27001, anexo B

Answer 18

Princípios do OECD - informativo

Question 19

27001, anexo C

Answer 19

Correspondência com a ISO 9001 e ISO 14001

Question 20

27001.0: introdução: ciclo PDCA, defina o P

Answer 20

Plan: ESTABELECER a política de segurança da informação.

Question 21

27001.0: introdução: ciclo PDCA, defina o D

Answer 21

Do: IMPLEMENTAR e OPERAR a política.

Question 22

27001.0: introdução: ciclo PDCA, defina o C

Answer 22

Check: MONITORAR e ANALISAR CRITICAMENTE

Question 23

27001.0: introdução: ciclo PDCA, defina o A

Answer 23

Act: MANTER e MELHORAR por meio de ações corretivas e preventivas

Question 24

O que significa EIOMAMM?

Answer 24

Estabelecer, Implementar, Operar, Monitorar, Analisar criticamente, Manter e Melhorar

Question 25

O que é SGSI?

Answer 25

Sistema de Gestão da Segurança da Informação. Faz parte do sistema de gestão global da organização. Baseado na abordagem de risco do negócio para EIOMAMM a segurança da informação.

Question 26

Qual a diferença entre INCIDENTE e EVENTO de segurança da informação?

Answer 26

EVENTO: qualquer violação da segurança da informação. Tem relevância, mas não é tão crítico. INCIDENTE: um conjunto de um ou mais eventos. É crítico, requer atuação imediata.

Question 27

O que é declaração de aplicabilidade?

Answer 27

Documento que descreve: * Os **objetivos de controle** e os **controles** aplicáveis * Os controles **não aplicáveis**.

Question 28

27001, seção 4.2.1

Answer 28

Estabelecer o SGSI (plan): 1. definir o **escopo e limites** do SGSI 2. definir **política de segurança** da informação 3. definir **sistemática** de analise e avaliação de risco 4. **identificar**, **analisar** a **avaliar** risco 5. identificar opção de tratamento de risco 6. selecionar objetivo de controle e controle 7. obter aprovação 8. fazer **declaração de aplicabilidade**

Question 29

27001, seção 4.2.2

Answer 29

Implementar e operar o SGSI (do): 1. formular **plano de tratamento** de risco 2. **implementar o plano de tratamento** de risco 3. **implementar os controles** selecionados 4. **definir como medir** os controles 5. gerenciar as operações e recursos do SGSI 6. obter **aprovação** da direção acerca dos **riscos residuais** 7. implementar procedimentos e controles para rápida resposta a incidentes

Question 30

27001, seção 4.2.3

Answer 30

Monitorara e analisar criticamente o SGSI (check): 1. executar procedimentos para analisar e monitorar 2. analisar criticamente regularmente 3. conduzir auditorias internas no SGSI 4. atualizar o plano de segurança da informação 5. registrar as ações e eventos que podem causar algum impacto

Question 31

27001, seção 4.2.4

Answer 31

Manter e melhorar o SGSI (act): 1. implementar as melhorias identificadas 2. executar ações preventivas e corretivas 3. comunicar as ações às partes interessadas 4. assegurar que as melhorias alcancem os objetivos

Question 32

27001, seção 4.3

Answer 32

Requisitos de documentação 1. declaração da política; 2. escopo e objetivos do SGSI; 3. procedimentos e controles; 4. metodologia de risco; 5. relatório de risco; 6. plato de tratamento de risco; 7. registros requeridos pela norma; 8. delaração de aplicabilidade

Question 33

Segundo a 27001, seção 4.3, qual a diferença entre registro e documentação ?

Answer 33

Registro é mais dinâmico. Documentação é mais estática.

Question 34

27001, seção 5.1

Answer 34

Comprometimento da direção: * A direção deve estar comprometida com EIOMAMM.

Question 35

27001, seção 5.2

Answer 35

Responsabilidade da direção: * **Gestão dos recursos** e * **conscientização** das pessoas quanto à importância do SGSI

Question 36

27001, seção 7.2

Answer 36

Entradas para análise crítica do SGSI: 1. **Resultados anteriores**: * auditorias e análises críticas; * vulnerabilidades/ameaças não contempladas * resultados das medições de eficácia; 2. **Partes Interessadas**: realimentações das 3. **Aações Preventivas e Corretivas**: situação das; 4. **Técnicas/Produtos/Procedimentos** de melhoria da eficácia do SGSI; 5. **Mudança** que poderia afetar o SGSI; 6. **Recomendações** para melhoria.

Question 37

27001, seção 8.1

Answer 37

Melhoria do SGSI: melhoria contínua

Question 38

27001, seção 8.2

Answer 38

Melhoria do SGSI: **Ações Corretivas**

Question 39

27001, seção 8.3

Answer 39

Melhoria do SGSI: **Ações Preventivas**

Question 40

27001, seção 7.3

Answer 40

Saída da análise crítica do SGSI 1. **melhoria da eficácia** do SGSI; 2. **atualização** da _análise/avaliação_ de riscos 3. **atualiação** do _plano de tratamento_ de riscos; 4. **modificação de procedimentos e controles** que afetem a segurança da informação, 5. necessidade de recursos; 6. melhoria da medição da eficácia dos controles