Questões Comentadas - PSI
(CESPE - PF 2004 - Perito Área 3)
A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes.
93 - A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.
94 - A política de segurança não deve ter caráter punitivo, mas conscientizador e participativo. Assim, na política de segurança não se definem sanções ou penalidades aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se responsabilidades e o impacto do não cumprimento adequado do papel de cada um na
gestão da segurança como um todo.
95 - A política precisa ser aprovada pela administração da organização e formalmente comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se
de difícil controle e aceitação.
96 - Uma fonte primária para a definição dos requisitos de segurança consiste na avaliação de riscos dos ativos de informação. Essa análise permite ainda equilibrar os gastos com os controles de segurança de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança.
Gabarito:
E E C C
Fonte: 17799/2005
93 - 5.1 Política de segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
94 - d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
4) conseqüências das violações na política de segurança da informação;
95 - 5.1.1 Documento da política de segurança da informação
Controle Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
96 - 0.3 Como estabelecer requisitos de segurança da informação É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.
3. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
A política de segurança é um conjunto de diretrizes, normas, procedimentos e instruções de trabalho que estabelecem os critérios de segurança para serem adotados no nível local ou a institucional, visando o estabelecimento, a padronização e a normalização da segurança tanto no âmbito humano quanto tecnológico. Acerca das boas práticas para elaboração, implantação e monitoração da política de segurança, julgue os itens seguintes.
93 - A elaboração de uma política de segurança institucional deve refletir, sobretudo, o know-how de segurança dos profissionais envolvidos com a sua elaboração e não a cultura da organização.
94 - A política de segurança não deve ter caráter punitivo, mas conscientizador e participativo. Assim, na política de segurança não se definem sanções ou penalidades aplicáveis em caso de descumprimento das normas. Ao contrário, definem-se responsabilidades e o impacto do não cumprimento adequado do papel de cada um na
gestão da segurança como um todo.
95 - A política precisa ser aprovada pela administração da organização e formalmente comunicada a todos que devem cumpri-la, caso contrário sua aplicação torna-se
de difícil controle e aceitação.
96 - Uma fonte primária para a definição dos requisitos de segurança consiste na avaliação de riscos dos ativos de informação. Essa análise permite ainda equilibrar os gastos com os controles de segurança de acordo com os danos causados aos negócios gerados pelas potenciais falhas na segurança.
Gabarito:
E E C C
Fonte: 17799/2005
93 - 5.1 Política de segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.
94 - d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo:
4) conseqüências das violações na política de segurança da informação;
95 - 5.1.1 Documento da política de segurança da informação
Controle Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
96 - 0.3 Como estabelecer requisitos de segurança da informação É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.
1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.
3. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.
Comentários