Aula 00 Demo CG Ati Gsi Mpog 6309

MPOG (Cargo: Analista - TI) Gesto de
Segurana da Informao Aula 00

Teoria e Exerccios
Professor Leonardo Rangel
AULA 00: 7.1. Normas ABNT: NBR 27001:2005 (Sistema de

Gesto de Segurana da Informao), NBR 27002:2005
(Cdigo de Boas Prticas em Segurana da Informao) 6.1.
Poltica de segurana (processos de definio, implantao
e gesto de polticas de segurana e auditoria). 6.2.
Classificao da informao. 6.4. Controle de acesso. 6.5.
Segurana de servios terceirizados. (Parte 1)
Sumrio
1.
Apresentao do curso. ...................................................................................................... 3
1.1. A Banca. .............................................................................................................................. 4

1.2. Metodologia das aulas. ....................................................................................................... 4
2.
Contedo programtico e planejamento das aulas (Cronograma) .................................... 5
3.
Informaes iniciais ............................................................................................................ 7
4.
Introduo........................................................................................................................... 8
4.1. Abordagem de processo ..................................................................................................... 8

4.2. Compatibilidade com outros sistemas de gesto ............................................................. 11
5.
Objetivo............................................................................................................................. 13
5.1. Aplicao ........................................................................................................................... 13

6.
Termos e definies .......................................................................................................... 14
7.
Sistema de gesto de segurana da informao .............................................................. 18
7.1. Estabelecendo e gerenciando o SGSI................................................................................ 18

7.1.1.
Implementar e operar o SGSI - A organizao deve ................................................. 23
7.1.2.
Monitorar e analisar criticamente o SGSI - A organizao deve............................... 23
7.1.3.
Manter e melhorar o SGSI A organizao deve regularmente: ............................. 25
www.tiparaconcursos.net
- leonardo.rangel@tiparaconcursos.net
Pgina 1 de 67

Teoria e Exerccios
7.2. Requisitos de documentao - A documentao do SGSI deve incluir ............................ 26
7.2.1.
Controle de documentos........................................................................................... 27
7.2.2.
Controle de registros ................................................................................................. 28
8.
Responsabilidades da direo .......................................................................................... 30
8.1. Gesto de recursos ........................................................................................................... 31

8.1.1.
9.
Treinamento, conscientizao e competncia ......................................................... 31
Auditorias internas do SGSI .............................................................................................. 31
10. Anlise crtica do SGSI pela direo .................................................................................. 33

10.1.
Entradas para a anlise crtica devem incluir............................................................ 33
10.2.
Sadas da anlise crtica ............................................................................................. 34
11. Melhoria do SGSI .............................................................................................................. 34

11.1.
Ao corretiva ........................................................................................................... 35
11.2.
Ao preventiva......................................................................................................... 35
12. Objetivos de controle e controles .................................................................................... 36

13. Princpios da OECD e o modelo PDCA descrito da ISO 27001 .......................................... 57
14. Correspondncia entre as ISO 9001, 14001 e 27001 ....................................................... 59
15. Lista das Questes Utilizadas na Aula. ............................................................................. 61
16. Gabarito. ........................................................................................................................... 67
Caros alunos,
Para iniciarmos nossa aula de demonstrao, falarei um pouco sobre mim. Sou
Servidor Pblico Federal a mais de vinte anos, onde desempenhei vrias funes
relacionadas rea de TI. Nos ltimos seis anos, trabalho na administrao, controle e
segurana de usurios lotados em sessenta e quatro Unidades Gestoras sediadas nos
estados do Rio de Janeiro e Esprito Santo, totalizando mais de cinco mil usurios de
diversos sistemas utilizados pela esfera federal, tais como: SIAFI, SIAFI Web, SIAFI Gerencial,
SIAFI Educacional, SIASG, SIASG Treino, entre outros. Minha formao acadmica teve incio
Pgina 2 de 67

Teoria e Exerccios
em 1996 quando terminei a Graduao em Matemtica pela UERJ - Universidade Estadual
do Rio de Janeiro, prossegui em 2000, com o Bacharelado em Cincias da Computao pela
UGF - Universidade Gama Filho. Nos ltimos doze anos, realizei trs cursos de PsGraduao: Docncia do Ensino Superior pela UFRJ - Universidade Federal do Rio de
Janeiro, Gesto Estratgica e Negcios pela USP - Universidade de So Paulo e Criptografia e
Segurana em Redes pela UFF - Universidade Federal Fluminense. Sou tambm certificado
PMP, Cobit e Itil.
Venho trabalhando como professor desde 2003 na preparao do profissional de TI
para concursos pblicos (BNDES, Petrobras e subsidirias, BACEN, TCU, SUSEP, Tribunais,
Ministrios Pblicos, Receita Federal, entre outros) e na preparao para os cargos de
Engenharia (BNDES e Petrobras), nos cursos preparatrios para concursos presenciais e
telepresenciais: Academia do Concurso, ACP-SAT, Curso Gabarito, CEAV Concursos, CEGM,
Curso Cefis, Curso Debret, Curso Multiplus, Curso Pla, Canal dos Concursos, Eu vou Passar,
Aprova Concursos, entre outros.
1. Apresentao do curso.
Nosso curso ter como foco atender a necessidade do concurseiro que ir fazer a
prova do MPOG (Analista - Tecnologia da Informao) e precisa ter conhecimento sobre o
contedo referente aos tpicos Gesto de Segurana da Informao e Normas de segurana
da informao, conforme abaixo descrito.
Gesto de segurana da informao. 6.1. Poltica de segurana (processos de
definio, implantao e gesto de polticas de segurana e auditoria). 6.2. Classificao da
informao. 6.3. Gesto de risco em segurana da informao (planejamento, identificao,
anlise e tratamento de riscos de segurana). 6.4. Controle de acesso. 6.5. Segurana de
servios terceirizados. 6.6. Gesto de continuidade do negcio (anlise de impacto no
negcio, estratgia de continuidade, Plano de administrao de crises, plano de
continuidade operacional, plano de recuperao de desastres, plano de testes).
Normas de segurana da informao. 7.1. Normas ABNT: NBR 27001:2005
(Sistema de Gesto de Segurana da Informao), NBR 27002:2005 (Cdigo de Boas Prticas
em Segurana da Informao), NBR 27005:2005 (Gesto de Riscos de Segurana), NBR
15999:2007 e ABNT NBR 15999-2:2008 (Gesto de Continuidade do Negcio). 7.2. Normas
Pgina 3 de 67

Teoria e Exerccios
do Gabinete de Segurana Institucional GSI-PR: Instruo Normativa GSI n 1 e Normas
complementares n 04, 06, 07, 08 e 11/IN01/DSIC/GSIPR.
1.1. A Banca.
A banca ser o Cespe/UnB que tem grande experincia em provas de concursos
pblicos que tratem das disciplinas de TI. Isso quer dizer que temos uma quantidade bem
generosa de questes para trabalharmos em nosso curso.
O maior obstculo est nas questes de Certo/Errado, onde uma Errada anula uma
Certa, mas nada que seja um bicho de sete cabeas.
S pra lembrar, o edital ainda no foi publicado e a banca do concurso anterior foi a
FUNRIO, mas fontes do MPOG informam que o Cespe organizar o prximo concurso.
1.2. Metodologia das aulas.

Teremos aulas expositivas, descritivas e descontradas com aproximadamente 40
pginas por aula, as quais podero variar em quantidade, dependendo do assunto tratado e
da abordagem oferecida, mas tentando sempre manter tal mdia. Fiquem tranquilos,
normalmente acabamos as aulas em muito mais que isso, pois no gosto de economizar no
contedo que cobrado nas provas dos senhores.
Todas as aulas tero uma introduo terica, abrangendo os assuntos tratados, e
uma bateria de exerccios comentados, para fixao do contedo e aprendizado do estilo da
banca.
Abordarei os assuntos desde o bsico at o avanado, para que o aluno iniciante
tenha conhecimento e contato inicial com os tpicos tratados, e o aluno mais experiente
possa se aprofundar atravs da resoluo de questes.
A aplicao dos exerccios poder variar de aula pra aula, de acordo com a
proporo dos assuntos cobrados em questes de provas anteriores.
Pgina 4 de 67

Teoria e Exerccios
2. Contedo programtico e planejamento das aulas (Cronograma)

O Contedo programtico est distribudo de forma que, mesmo quem nunca teve
contato com o assunto, possa compreender o contexto da disciplina e a forma com que ela
abordada pela banca.
Pretendo sempre trabalhar os assuntos conforme o nvel da banca, por isso, tudo
que coloco nas aulas cai ou que pode cair na prova.
Aula
Contedo a ser trabalhado

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da
Aula
Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da
Demonstrativa
Informao) 6.1. Poltica de segurana (processos de definio, implantao e
24/02/2015
gesto de polticas de segurana e auditoria). 6.2. Classificao da informao. 6.4.

Controle de acesso. 6.5. Segurana de servios terceirizados. (Parte 1)

Aula 1
24/02/2015


Aula 2
24/02/2015


Aula 3
24/02/2015


Aula 4
24/02/2015

Aula 5
24/02/2015
Pgina 5 de 67

Teoria e Exerccios
NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

15999-2:2008 (Gesto de Continuidade do Negcio). 6.6. Gesto de continuidade
do negcio (anlise de impacto no negcio, estratgia de continuidade, Plano de
Aula 6
administrao de crises, plano de continuidade operacional, plano de recuperao
10/03/2015
de desastres, plano de testes). 6.3. Gesto de risco em segurana da informao

(planejamento, identificao, anlise e tratamento de riscos de segurana). Normas
do Gabinete de Segurana Institucional GSI-PR: Instruo Normativa GSI n 1 e
Normas complementares n 04, 06, 07, 08 e 11/IN01/DSIC/ GSIPR. (Parte 1)

Aula 7
10/03/2015


Aula 8
17/03/2015


Aula 9
24/03/2015

Aula 10
Pgina 6 de 67

Teoria e Exerccios
31/03/2015

Nossa aula de hoje abordar os assuntos referentes NBR ISO/IEC 27001.
3. Informaes iniciais
Antes de adentrarmos na parte tcnica deste assunto, devemos conhecer algumas
informaes, que julgo essenciais, principalmente para quem est a pouco tempo
estudando para concursos na rea de TI. Ento vamos s informaes.
ISO 27001 o padro e a referncia Internacional para a gesto da Segurana da
Informao.
A sua adoo serve para que as organizaes adotem um modelo adequado de
estabelecimento, implementao, operao, monitorizao, reviso e gesto de um Sistema
de Gesto de Segurana da Informao (SGSI).
Este sistema de Gesto de Segurana da Informao um modelo holstico de
abordagem Segurana da Informao e independente de marcas e fabricantes
tecnolgicos.
holstico porque acaba por ser uma abordagem de 360 Segurana da
Informao, tratando de mltiplos temas relacionados ao assunto.
independente de fabricantes porque se destina ao estabelecimento de processos
e procedimentos que depois podem ser materializados realidade de cada organizao de
forma diferente e com a especificidade de cada ambiente tecnolgico e organizacional.
Depois dessa ambientao, vamos ao que interessa!
Pgina 7 de 67

Teoria e Exerccios
4. Introduo
4.1. Abordagem de processo
Neste contexto, processo qualquer atividade que faz uso de recursos e os
gerencia para habilitar a transformao de entradas em sadas pode ser considerada um

processo.
OBSERVAO IMPORTANTE:
Frequentemente a sada de um processo forma diretamente a entrada do processo

seguinte.
Abordagem de processo aplicao de um sistema de processos dentro de uma
organizao, junto com a identificao e interaes destes processos, e a sua gesto.
A abordagem de processo relativo ao SGSI de uma organizao tem a finalidade
de:
Estabelecer e Implementar;
Operar
Monitorar
Analisar criticamente
Manter; e
Melhorar.
Segue um macete para ajudar a decorar os processos: (Pode levar a srio, porque
isso pode te ajudar a resolver questes de prova).
EIOMAMM (E) Estabelecer, (I) Implementar e (O) Operar, (M) Monitorar e (A)
Avaliar criticamente, (M) Manter e (M) Melhorar.

E IO MA MM
P D C
A abordagem de processo enfatiza a importncia de:
Entender os requisitos de segurana da informao e a necessidade de
estabelecer uma poltica e seus objetivos;
Pgina 8 de 67

Teoria e Exerccios
Implementar e operar controles para gerenciar os riscos de segurana da
informao de uma organizao;
Monitorar e analisar criticamente o desempenho e eficcia do SGSI; e
Melhoria contnua baseada em medies objetivas.
Veremos agora (Figura 1) o modelo conhecido como "Plan-Do-Check-Act
(PDCA), que aplicado para estruturar todos os processos do SGSI.
Figura 1 Modelo PDCA aplicado aos processos do SGSI
Veja a descrio de cada um dos processos:
1. (FCC - 2011 - TRT - 14 Regio - RO e AC) Estabelecer a poltica, objetivos, processos e

procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da
informao para produzir resultados de acordo com as polticas e objetivos globais de uma
Pgina 9 de 67

Teoria e Exerccios
organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta
definio pertence a
a) planejar.
b) agir.
c) fazer.
d) confidencializar.
e) checar.
Comentrio:
Observe a descrio do PDCA destacada em vermelho:
Gabarito: A
2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do
sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer)
equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do
SGSI.
( ) Certo
( ) Errado
Comentrio:
Observando a tabela acima podemos verificar que:
Do (fazer) quer dizer Implementar e operar a poltica, controles, processos e
procedimentos do SGSI.
A descrio mostrada na questo referente ao Act (agir), veja:
Pgina 10 de 67

Teoria e Exerccios
Act (agir) - Executar as aes corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para
alcanar a melhoria contnua do SGSI.
Gabarito: ERRADO
4.2. Compatibilidade com outros sistemas de gesto
A tabela abaixo mostra o alinhamento da ISO 27001, 9001 e 14001.
Pgina 11 de 67

Teoria e Exerccios
Pgina 12 de 67

Teoria e Exerccios
5. Objetivo
O SGSI projetado para assegurar a seleo de controles de segurana
adequados e proporcionados para:
Proteger os ativos de informao; e
Propiciar confiana s partes interessadas.
5.1. Aplicao
Os requisitos que veremos so genricos para possibilitar a aplicao em todas
as organizaes, independentemente de:
Tipo;
Tamanho; e
Natureza.
Precisa-se justificar a excluso de controles necessria para satisfazer os critrios
de aceitao de riscos.
As evidncias de aceitao dos riscos associados pelas pessoas responsveis
precisam ser fornecidas.

3. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
c) sem fins lucrativos, somente.
d) comerciais e governamentais, somente.
e) comerciais, governamentais e sem fins lucrativos.
Comentrio:
Veja o item Aplicao mostrado acima:
Os requisitos que veremos so genricos para possibilitar a aplicao em todas
as organizaes, independentemente de:
Tipo;
Tamanho; e
Natureza.
Pgina 13 de 67

Teoria e Exerccios
Gabarito: E
4. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre
que empregada, refere-se a sistema de gesto da segurana da informao
De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos
deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas
pessoas responsveis por eles.
( ) Certo ( ) Errado
Comentrio:
Veja o item Aplicao
Qualquer excluso de controles considerados necessrios para satisfazer aos critrios de
aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram
aceitos pelas pessoas responsveis precisam ser fornecidas.
Gabarito: CERTO
6. Termos e definies
Ativo: Qualquer coisa que tenha valor para a organizao.
Disponibilidade: Propriedade de estar acessvel e utilizvel sob demanda por
uma entidade autorizada.
Confidencialidade: Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no autorizados.
Segurana da informao: Preservao da confidencialidade, integridade e
disponibilidade da informao; adicionalmente, outras propriedades, tais
como
autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar

envolvidas.
Evento de segurana da informao: Uma ocorrncia identificada de um estado
de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da

informao ou falha de controles, ou uma situao previamente desconhecida, que possa
ser relevante para a segurana da informao.
Pgina 14 de 67

Teoria e Exerccios
Incidente de segurana da informao: Um simples ou uma srie de eventos de
segurana da informao indesejados ou inesperados, que tenham uma grande

probabilidade de comprometer as operaes do negcio e ameaar a segurana da
informao.
Sistema de gesto da segurana da informao SGSI: A parte do sistema de
gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao.
Integridade: Propriedade de salvaguarda (Proteo concedida por uma
autoridade) da exatido e completeza (Algo que mantm a integridade preservada) de

ativos.
Risco residual: Risco remanescente aps o tratamento de riscos.
Aceitao do risco: Deciso de aceitar um risco.
Anlise de riscos: Uso sistemtico de informaes para identificar fontes e
estimar o risco.
Anlise/avaliao de riscos: Processo completo de anlise e avaliao de riscos.
Avaliao de riscos: Processo de comparar o risco estimado com critrios de
risco predefinidos para determinar a importncia do risco.
Gesto de riscos: Atividades coordenadas para direcionar e controlar uma
organizao no que se refere a riscos.
Tratamento do risco: Processo de seleo e implementao de medidas para
modificar um risco.
5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo
correta acerca de definies relacionadas gesto de segurana da informao.
a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de
gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo
estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e
melhoramento da segurana da informao.
b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de
risco predefinidos, a fim de determinar a importncia do risco.
c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre
de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e
Pgina 15 de 67

Teoria e Exerccios
ameaar a segurana da informao.
d) O incidente de segurana da informao consiste em um incidente que, caso seja
identificado em um estado de sistema, servio ou rede, indica a ocorrncia de uma possvel
violao da poltica de segurana da informao, bem como de uma falha de controles ou
de uma situao previamente desconhecida que possa ser relevante segurana da
informao.
e) Confidencialidade corresponde propriedade de classificar uma informao sigilosa
como confidencial.
Comentrio:
Segundo a norma temos:
Letra a) CERTO. Sistema de gesto da segurana da informao (SGSI) - A parte do sistema
de gesto global, baseado na abordagem de riscos do negcio, para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da
informao.
Letra b) ERRADO. Gesto de riscos - Atividades coordenadas para direcionar e controlar
uma organizao no que se refere a riscos.
Letra c) ERRADO. Evento de segurana da informao - Processo de comparar o risco
estimado com critrios de risco predefinidos para determinar a importncia do risco.
Letra d) ERRADO. Incidente de segurana da informao - Um simples ou uma srie de
eventos de segurana da informao indesejados ou inesperados, que tenham uma grande
probabilidade de comprometer as operaes do negcio e ameaar a segurana da
informao.
Letra e) ERRADO. Confidencialidade - Propriedade de que a informao no esteja
disponvel ou revelada a indivduos, entidades ou processos no autorizados.
Gabarito: A
Declarao de aplicabilidade: Declarao documentada que descreve os
objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao.

OBSERVAES IMPORTANTES:
O sistema de gesto inclui estrutura organizacional, polticas, atividades de
Pgina 16 de 67

Teoria e Exerccios
planejamento, responsabilidades, prticas, procedimentos, processos e recursos.
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de
riscos, a aceitao de riscos e a comunicao de riscos.
Neste contexto controle usado como um sinnimo para medida.
Os objetivos de controle e controles esto baseados nos resultados e concluses
dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais

ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para
a segurana da informao.
6. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade
a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
c) a possvel violao da poltica de segurana da informao ou falha de controles.
d) a propriedade de salvaguarda da exatido e completeza de ativos.
e) qualquer coisa que tenha valor para a organizao.
Comentrio:
Esta questo aborda algumas definies essenciais para este contexto.
As alternativas trazem as definies de:
Letra a) Disponibilidade: Propriedade de estar acessvel e utilizvel sob demanda por uma
entidade autorizada.
Letra b) Confidencialidade: Propriedade de que a informao no esteja disponvel ou
revelada a indivduos, entidades ou processos no autorizados.
Letra c) Evento: possvel violao da poltica de segurana da informao ou falha de
controles.
Letra d) Integridade: Propriedade de salvaguarda (Proteo concedida por uma autoridade)
da exatido e completeza (Algo que mantm a integridade preservada) de ativos.
Letra e) Ativo: Qualquer coisa que tenha valor para a organizao.
Gabarito: D
Pgina 17 de 67

Teoria e Exerccios
7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicveis
ao SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e
concluses dos processos de anlise/avaliao de riscos e de decises acerca de como
controlar, evitar, transferir ou aceitar tais riscos.
Comentrio:
Veja as Observaes Importantes acima. Podemos ver que os objetivos de controle e
controles, esto baseados TAMBM nos resultados e concluses dos processos de
tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os
requisitos de negcio da organizao. O termo EXCLUSIVAMENTE comprometeu a questo.
Gabarito: ERRADO
7. Sistema de gesto de segurana da informao

A organizao deve estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades
de negcio globais da organizao e os riscos que ela enfrenta.
Este processo est baseado no modelo de PDCA mostrado na figura 1 (Acima).
7.1. Estabelecendo e gerenciando o SGSI

Para estabelecer o SGSI a organizao deve:
Definir o escopo e os limites do SGSI.
Para isso, a organizao precisa observar sua localizao, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer excluses do escopo;
Definir uma poltica do SGSI.
A organizao precisa observar sua localizao, ativos e tecnologia que:

1) inclua uma estrutura para definir objetivos e estabelea um
direcionamento global e princpios para aes relacionadas com a segurana
da informao;
2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes
de segurana contratuais;
Pgina 18 de 67

Teoria e Exerccios
3) esteja alinhada com o contexto estratgico de gesto de riscos da
organizao no qual o estabelecimento e manuteno do SGSI iro ocorrer;
4) estabelea critrios em relao aos quais os riscos sero avaliados; e
5) tenha sido aprovada pela direo.
A poltica do SGSI considerada um documento maior da poltica de
segurana da informao.
Definir a abordagem de anlise/avaliao de riscos para:

1) Identificar uma metodologia de anlise/avaliao de riscos que seja adequada
ao SGSI e aos requisitos legais, regulamentares e de segurana da informao,
identificados para o negcio.
2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
aceitveis de risco.
A metodologia de anlise/avaliao de riscos selecionada deve assegurar a
produo de resultados comparveis e reproduzveis.
Identificar os riscos:
1) Identificar os ativos dentro do escopo do SGSI e seus proprietrios.
Proprietrio se refere pessoa ou organismo que tenha uma
responsabilidade autorizada para controlar a produo, o desenvolvimento, a

manuteno, o uso e a segurana dos ativos. Isso no quer dizer que o
proprietrio tenha qualquer direito de propriedade ao ativo.
2) Identificar as ameaas a esses ativos.

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaas.
4) Identificar os impactos que as perdas de confidencialidade, integridade e
disponibilidade podem causar aos ativos.
Analisar e avaliar os riscos:
Pgina 19 de 67

Teoria e Exerccios
1) Avaliar os impactos para o negcio da organizao que podem resultar de
falhas de segurana, levando em considerao as consequncias de uma perda
de confidencialidade, integridade ou disponibilidade dos ativos.
2) Avaliar a probabilidade real da ocorrncia de falhas de segurana luz de
ameaas e vulnerabilidades prevalecentes, e impactos associados a estes ativos
e os controles atualmente implementados.
3) Estimar os nveis de riscos.
4) Determinar se os riscos so aceitveis ou se requerem tratamento utilizando
os critrios estabelecidos.
Identificar e avaliar as opes para o tratamento de riscos:
Possveis aes incluem:

1) aplicar os controles apropriados;
2) aceitar os riscos consciente e objetivamente, desde que satisfaam
claramente s polticas da organizao e aos critrios de aceitao de riscos;
3) evitar riscos; e
4) transferir os riscos associados ao negcio a outras partes, por exemplo,
seguradoras e fornecedores.
Selecionar objetivos de controle e controles para o tratamento de riscos.
Objetivos de controle e controles devem ser selecionados e implementados
para atender aos requisitos identificados pela anlise/avaliao de riscos e pelo

processo de tratamento de riscos.
Esta seleo deve considerar os critrios para aceitao de riscos como
tambm os requisitos legais, regulamentares e contratuais.
Obter aprovao da direo dos riscos residuais propostos.
Obter autorizao da direo para implementar e operar o SGSI.
Preparar uma Declarao de Aplicabilidade.
A Declarao de Aplicabilidade prov um resumo das decises relativas ao
tratamento de riscos.
A justificativa das excluses prov uma checagem cruzada de que nenhum
controle foi omitido inadvertidamente.
Uma Declarao de Aplicabilidade deve ser preparada, incluindo o seguinte:
Pgina 20 de 67

Teoria e Exerccios
1) Os objetivos de controle e os controles selecionados e as razes para sua
seleo;
2) Os objetivos de controle e os controles atualmente implementados; e
3) A excluso de quaisquer objetivos de controle e controles com a respectiva
justificativa para sua excluso.
8. (FCC - 2013 - TRT - 18 Regio/GO) A Norma NBR ISO/IEC 27001:2006, na seo que
trata do estabelecimento e gerenciamento do SGSI, orienta que a organizao deve definir
uma poltica do SGSI nos termos das caractersticas do negcio, sua localizao, ativos e
tecnologia que observe as caractersticas listadas abaixo, EXCETO:
a) obtenha a autorizao dos stakeholders (partes interessadas).
b) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e
princpios para aes relacionadas com a segurana da informao.
c) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana
contratuais.
d) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o
estabelecimento e manuteno do SGSI iro ocorrer.
e) estabelea critrios em relao aos quais os riscos sero avaliados.
Comentrio:
Observe que a questo quer a alternativa INCORRETA.
Para estabelecer o SGSI a organizao deve:
Definir o escopo e os limites do SGSI.
Para isso, a organizao precisa observar sua localizao, ativos e tecnologia,
incluindo detalhes e justificativas para quaisquer excluses do escopo;

1) inclua uma estrutura para definir objetivos e estabelea um
direcionamento global e princpios para aes relacionadas com a segurana
da informao; (descrito na letra b)
2) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes
de segurana contratuais; (descrito na letra c)
Pgina 21 de 67

Teoria e Exerccios
(descrito na letra d)
4) estabelea critrios em relao aos quais os riscos sero avaliados; e
(descrito na letra e)
5) tenha sido aprovada pela direo.
Como podemos observar, a alternativa a) a nica que no aparece na descrio acima.
A referncia que podemos mencionar sobre ela est no item Manter e melhorar o SGSI A
organizao deve: regularmente comunicar as aes e melhorias a todas as partes
interessadas.
Gabarito: A
9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a

organizao, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia
da informao e a abordagem para a avaliao de riscos.
Comentrio:
A ISO 27001 no item Estabelecer o SGSI, no menciona a definio de um plano diretor,
observe o descrito na norma.
A organizao deve:
a) Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a
organizao, sua localizao, ativos e
tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo (ver 1.2);
b) Definir uma poltica do SGSI nos termos das caractersticas do negcio, a organizao,
sua localizao, ativos e tecnologia que
d) Identificar os riscos.
e) Analisar e avaliar os riscos.
f) Identificar e avaliar as opes para o tratamento de riscos.
g) Selecionar objetivos de controle e controles para o tratamento de riscos.
h) Obter aprovao da direo dos riscos residuais propostos.
i) Obter autorizao da direo para implementar e operar o SGSI.
Pgina 22 de 67

Teoria e Exerccios
j) Preparar uma Declarao de Aplicabilidade.
Gabarito: ERRADO
7.1.1. Implementar e operar o SGSI - A organizao deve
Formular um plano de tratamento de riscos.
Identificando a ao de gesto, recursos, responsabilidades e prioridades.
Implementar o plano de tratamento de riscos.
Incluindo consideraes de financiamentos e atribuio de papis e
responsabilidades.
Implementar os controles selecionados.
Definir como medir a eficcia dos controles ou grupos de controles.
Especificando como estas medidas devem ser usadas para avaliar a eficcia
dos controles de modo a produzir resultados comparveis e reproduzveis.
Implementar programas de conscientizao e treinamento.
Gerenciar as operaes do SGSI.
Gerenciar os recursos para o SGSI.
Implementar procedimentos e outros controles capazes de permitir a pronta
deteco de eventos de segurana da informao e resposta a incidentes de segurana da

informao.
7.1.2. Monitorar e analisar criticamente o SGSI - A organizao deve
Executar procedimentos de monitorao e anlise crtica:

1) detectar erros nos resultados de processamento;
2) identificar tentativas e violaes de segurana bem-sucedidas, e incidentes de
segurana da informao;
3) permitir direo determinar se as atividades de segurana da informao
delegadas a pessoas ou implementadas por meio de tecnologias de informao
so executadas conforme esperado;
4) ajudar a detectar eventos de segurana da informao e assim prevenir
incidentes de segurana da informao pelo uso de indicadores; e
Pgina 23 de 67

Teoria e Exerccios
5) determinar se as aes tomadas para solucionar uma violao de segurana
da informao foram eficazes.
Realizar anlises crticas regulares da eficcia do SGSI.
Medir a eficcia dos controles.
Analisar criticamente as anlises/avaliaes de riscos e analisar criticamente os
riscos residuais e os nveis de riscos aceitveis identificados, levando em considerao

mudanas relativas a:
1) organizao;
2) tecnologias;
3) objetivos e processos de negcio;
4) ameaas identificadas;
5) eficcia dos controles implementados;
6) eventos externos.
Conduzir auditorias internas (ou auditorias de primeira) do SGSI.
Realizar uma anlise crtica do SGSI pela direo.
Atualizar os planos de segurana da informao.
Registrar aes e eventos que possam ter um impacto na eficcia ou no
desempenho do SGSI.
10. (FCC - 2012 - TJ/PE) A eficcia dos controles para verificar se os requisitos de segurana
da informao foram atendidos deve ser medida, no Sistema de Gesto de Segurana da
Informao (SGSI), nas fases
a) estabelecer e gerenciar o SGSI.
b) monitorar e analisar criticamente o SGSI.
c) planejar e implantar o SGSI.
d) implementar e operar o SGSI.
e) manter e melhorar o SGSI.
Comentrio:
Observe:
Que o objeto da questo : em qual fase deve ser medida a eficcia dos
controles para verificar se os requisitos de segurana da informao foram atendidos.
A maldade do examinador em colocar nas alternativas d) e e) outras duas
Pgina 24 de 67

Teoria e Exerccios
subfases de Estabelecendo e gerenciando o SGSI para confundir o aluno.
Conforme vimos em nossa aula de hoje,
Monitorar e analisar criticamente o SGSI - A organizao deve
Executar procedimentos de monitorao e anlise crtica: ...
Realizar anlises crticas regulares da eficcia do SGSI.
Medir a eficcia dos controles.
Gabarito: B
7.1.3. Manter e melhorar o SGSI A organizao deve regularmente:
Implementar as melhorias no SGSI.
Executar as aes preventivas e corretivas.
Aplicar as lies aprendidas de experincias de segurana da informao de
outras organizaes e aquelas da prpria organizao.
Comunicar as aes e melhorias a todas as partes interessadas.
Assegurar-se de que as melhorias atinjam os objetivos pretendidos.
11. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do
negcio, a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o
contexto estratgico de gesto de riscos da organizao no qual o estabelecimento e
manuteno do SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
Pgina 25 de 67

Teoria e Exerccios
c) II, apenas.
d) III, apenas.
e) I, II e III.
Comentrio:
Observe o que vimos em nossa aula de hoje no tpico 6.1 Estabelecendo e gerenciando o
SGSI
Item I. CORRETO.

Item II. CORRETO.
Definir a abordagem de anlise/avaliao de riscos para:

2) Desenvolver critrios para a aceitao de riscos e identificar os nveis
aceitveis de risco.
Item III. CORRETO.

Identificar e avaliar as opes para
2) aceitar os riscos consciente e objetivamente, desde que satisfaam

claramente s polticas da organizao e aos critrios de aceitao de riscos;
Gabarito: E
7.2. Requisitos de documentao - A documentao do SGSI deve incluir
Registros de decises da direo
Uma forma de:
Assegurar que as aes sejam rastreveis s polticas e decises da direo.
Assegurar que os resultados registrados sejam reproduzveis.
Demonstrar a relao dos controles selecionados com os resultados da
anlise/avaliao de riscos e do processo de tratamento de riscos, e

consequentemente com a poltica e objetivos do SGSI.
Declaraes documentadas da poltica e objetivos;
Escopo;
Pgina 26 de 67

Teoria e Exerccios
Procedimentos e controles que apoiam o SGSI;
Descrio da metodologia de anlise/avaliao de riscos;
Relatrio de anlise/avaliao de riscos;
Plano de tratamento de riscos;
Procedimentos documentados requeridos pela organizao para assegurar:
Planejamento efetivo.
Operao e o controle de seus processos de segurana de informao.
Descrever como medir a eficcia dos controles.
Registros requeridos; e
Declarao de Aplicabilidade.
OBSERVAES IMPORTANTES:
Procedimento documentado igual a procedimento estabelecido,

documentado, implementado e mantido.
A abrangncia da documentao do SGSI variam de acordo com:

o
Tamanho da organizao;
Tipo de suas atividades; e
Escopo e complexidade dos requisitos de segurana e o do sistema
gerenciado.
Documentos e registros podem estar em qualquer forma ou tipo de mdia.
7.2.1. Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados.
Um procedimento documentado deve ser estabelecido para definir as aes de
gesto necessrias para:
Aprovar, antes de sua emisso, documentos quanto sua adequao;
Analisar criticamente e atualizar e reaprovar documentos;
Assegurar que sejam identificadas as alteraes e a situao da reviso atual
dos documentos;
Assegurar que as verses pertinentes de documentos aplicveis estejam
disponveis nos locais de uso;

Pgina 27 de 67

Teoria e Exerccios
Assegurar que os documentos permaneam legveis e prontamente
identificveis;
Assegurar que os documentos:

o
Estejam disponveis queles que deles precisam;
Sejam transferidos, armazenados e finalmente descartados conforme os
procedimentos aplicveis sua classificao;
Assegurar que documentos de origem externa sejam identificados;
Assegurar que a distribuio de documentos seja controlada;
Prevenir o uso no intencional de documentos obsoletos; e
Aplicar identificao adequada nos casos em que sejam retidos para qualquer
propsito.
7.2.2. Controle de registros
Registros devem ser estabelecidos e mantidos para:
Fornecer evidncias de conformidade aos requisitos e da operao eficaz do
SGSI.
Devem ser protegidos e controlados.
O SGSI deve considerar quaisquer requisitos legais ou regulamentares
pertinentes e obrigaes contratuais.
Registros devem permanecer legveis, identificveis e recuperveis.
Controles devem ser documentados e implementados para:
Identificao;
Armazenamento;
Proteo;
Recuperao;
Tempo de reteno; e
Disposio de registros.
Devem ser mantidos:
Registros do desempenho do processo; e
Ocorrncias de incidentes de segurana da informao relacionados ao SGSI.
Pgina 28 de 67

Teoria e Exerccios
12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo
conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.
Entre os documentos e registros cujo controle demandado pela ISO 27001, destacam-se
como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao
de risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros
de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros
registros, inclusive de no conformidade.
Comentrio:
Veja o item Requisitos de documentao - A documentao do SGSI deve incluir:
a) declaraes documentadas da poltica e objetivos do SGSI;
b) o escopo do SGSI;
c) procedimentos e controles que apoiam o SGSI;
d) uma descrio da metodologia de anlise/avaliao de riscos;
e) o relatrio de anlise/avaliao de riscos;
f) o plano de tratamento de riscos;
g) procedimentos documentados requeridos pela organizao para assegurar o
planejamento efetivo, a operao e o controle de seus processos de segurana de
informao e para descrever como medir a eficcia dos controles;
h) registros requeridos por esta Norma; e
i) a Declarao de Aplicabilidade.
So citados na norma como exemplos de registros: livros de visitantes, relatrios
de auditoria e formulrios de autorizao de acesso preenchidos.
Gabarito: CERTO
Pgina 29 de 67

Teoria e Exerccios
8. Responsabilidades da direo
A Direo deve fornecer evidncia do seu comprometimento com o:
Estabelecimento;
Implementao;
Operao;
Monitoramento;
Anlise crtica;
Manuteno; e
Melhoria do SGSI
Este comprometimento deve ser comprovado mediante:
Estabelecimento da poltica do SGSI;
Garantia de que so estabelecidos os planos e objetivos do SGSI;
Estabelecimento de papis e responsabilidades pela segurana de
informao;
Comunicao organizao da(s):

o
Importncia em atender aos objetivos e a conformidade com a poltica de
segurana de informao
Responsabilidades perante a lei; e
Necessidade para melhoria contnua.
Proviso de recursos suficientes para:

o
Estabelecer;
Implementar;
Operar;
Monitorar;
Analisar criticamente;
Manter e melhorar o SGSI;
Definio de critrios para aceitao de riscos e dos nveis de riscos
aceitveis;
Garantia de que as auditorias internas sejam realizadas; e
Conduo de anlises crticas pela direo.
Pgina 30 de 67

Teoria e Exerccios
8.1. Gesto de recursos
A organizao deve determinar e prover os recursos necessrios para:
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e
melhorar um SGSI;
Assegurar que os procedimentos apoiam os requisitos de negcio;
Identificar e tratar os requisitos legais e regulamentares e obrigaes
contratuais;
Manter a segurana da informao adequada;
Realizar anlises crticas;
Reagir adequadamente aos resultados das anlises crticas; e
Melhorar a eficcia do SGSI.
8.1.1. Treinamento, conscientizao e competncia
A organizao deve assegurar que o pessoal:
Com responsabilidades atribudas definidas no SGSI seja competente no
desempenho das tarefas requeridas
Pertinente esteja consciente da relevncia e importncia das suas atividades
e como eles contribuem para o alcance dos objetivos do SGSI.
A organizao pode assegurar isso:
Determinando as competncias necessrias para o pessoal que executa
trabalhos que afetam o SGSI;
Fornecendo treinamento ou executando outras aes para satisfazer essas
necessidades;
Avaliando a eficcia das aes executadas; e
Mantendo registros de educao, treinamento, habilidades, experincias e
qualificaes.
9. Auditorias internas do SGSI
A organizao:
Pgina 31 de 67

Teoria e Exerccios
Deve conduzir auditorias internas.

o
Com intervalos planejados;
As auditorias devem determinar se os objetivos de controle, controles,
processos e procedimentos do seu SGSI:
Atendem aos requisitos da ISSO 27001 e legislao ou regulamentaes
pertinentes;
Atendem aos requisitos de segurana da informao identificados;
Esto mantidos e implementados eficazmente; e
So executados conforme esperado.
Um programa de auditoria deve ser planejado levando em considerao
Situao e a importncia dos processos e reas a serem auditadas;
Resultados de auditorias anteriores.
Critrios a serem definidos:
Auditoria;
Escopo;
Frequncia; e
Mtodos.
A seleo dos auditores e a execuo das auditorias devem assegurar
objetividade e imparcialidade do processo de auditoria.
Os auditores no devem auditar seu prprio trabalho.
Devem ser definidos em um procedimento documentado:
As responsabilidades;
Os requisitos para:
o
Planejamento;
Execuo de auditorias;
Relatar os resultados; e
Manuteno dos registros.
Pgina 32 de 67

Teoria e Exerccios
O responsvel pela rea a ser auditada deve:
Assegurar que as aes sejam executadas, sem demora indevida, para
eliminar as no-conformidades detectadas e suas causas.
As atividades de acompanhamento devem incluir:
Verificao das aes executadas; e
Relato dos resultados de verificao.
10.Anlise crtica do SGSI pela direo
A direo deve analisar criticamente o SGSI da organizao pelo menos uma vez
por ano para assegurar:
Contnua pertinncia;
Adequao; e
Eficcia.
Esta anlise crtica deve incluir:
Avaliao de oportunidades para melhoria; e
Necessidade de mudanas do SGSI, considerando:

o
Poltica de segurana da informao
Objetivos de segurana da informao.
Os resultados dessas anlises crticas devem ser claramente documentados e
seus registros mantidos.
10.1. Entradas para a anlise crtica devem incluir
Resultados de auditorias e anlises crticas;
Realimentao das partes interessadas;
Tcnicas, produtos ou procedimentos:
Desde que possam ser usados na organizao para melhorar o desempenho e
a eficcia do SGSI;
Situao das aes preventivas e corretivas;
Pgina 33 de 67

Teoria e Exerccios
Vulnerabilidades/ameaas
no
contempladas
adequadamente
nas
anlises/avaliaes de risco anteriores;
Resultados das medies de eficcia;
Acompanhamento das aes oriundas de anlises crticas anteriores pela
Quaisquer mudanas que possam afetar o SGSI; e
Recomendaes para melhoria.
direo;
10.2. Sadas da anlise crtica
Devem incluir quaisquer decises e aes relacionadas a:
Melhoria da eficcia do SGSI.
Atualizao da (o):
Anlise/avaliao de riscos; e
Plano de tratamento de riscos.
Modificao de procedimentos e controles que afetem a segurana da
informao:
o
Com o objetivo de responder a eventos internos ou externos que possam
impactar no SGSI.
o
Essas modificaes devem incluir mudanas de:

-
Requisitos de negcio;
Requisitos de segurana da informao;
Processos de negcio que afetem os requisitos de negcio existentes;
Requisitos legais ou regulamentares;
Obrigaes contratuais; e
Nveis de riscos e/ou critrios de aceitao de riscos.
Necessidade de recursos.
Melhoria de como a eficcia dos controles est sendo medida.
11.Melhoria do SGSI
A organizao deve continuamente melhorar a eficcia do SGSI utilizando:
Poltica de segurana da informao;

www.tiparaconcursos.net - leonardo.rangel@tiparaconcursos.net
Pgina 34 de 67

Teoria e Exerccios
Objetivos de segurana da informao;
Resultados de auditorias;
Anlises de eventos monitorados
Aes corretivas e preventivas;
Anlise crtica pela direo.
11.1. Ao corretiva
A organizao deve executar aes para eliminar as causas de no-
conformidades:
Objetivo: evitar repetio, ou seja, evitar recorrncia da no-conformidade.
Os procedimentos das aes corretivas de no-conformidade devem ser
documentados e definir requisitos para:
Identificar no-conformidades;
Determinar as causas de no-conformidades;
Avaliar a necessidade de aes para assegurar que as no-conformidades se
repitam;
Determinar e implementar as aes corretivas;
Registrar os resultados das aes executadas; e
Analisar criticamente as aes corretivas.
11.2. Ao preventiva
A organizao deve:
Determinar aes para eliminar as causas de no-conformidades potenciais
com os requisitos do SGSI, de forma a evitar a sua ocorrncia.
Identificar mudanas nos riscos.
Identificar requisitos de aes preventivas focando a ateno nos riscos
significativamente alterados.
As aes preventivas devem:
Ser apropriadas aos impactos dos potenciais problemas.
Ter seus procedimentos documentados com requisitos para:

www.tiparaconcursos.net - leonardo.rangel@tiparaconcursos.net
Pgina 35 de 67

Teoria e Exerccios
o
Identificar no-conformidades potenciais e suas causas;
Avaliar a necessidade de aes para evitar a ocorrncia de no-
conformidades;
Determinar e implementar as aes preventivas;
Registrar os resultados de aes; e
Analisar criticamente as aes preventivas.
A prioridade de aes preventivas deve ser determinada com base nos
resultados da anlise/avaliao de riscos.
Quem no conhece aquele velho ditado: prevenir melhor que

remediar. Na rea de segurana devemos levar este lema como uma
premissa. Por isso, aes preventivas frequentemente tm melhor custobenefcio que as corretivas.
OBSERVAES ADICIONAIS:
Vamos comear pela parte ruim. Agora vamos adentrar em uma parte que
considero um mal necessrio, que so os anexos da ISO 27001. Pensei at
em no coloca-los em nossa aula, mas nunca se sabe completamente o
que o examinador est pensando ou julga importante, vai que o cidado
coloca uma questo dessas.
Como todo assunto tem tambm pelo menos uma parte boa. Como
podem observar pela incidncia de questes, esta parte ainda no foi
cobrada em provas da FCC.
Respirem fundo, vamos l.
12. Objetivos de controle e controles
Uma organizao pode adicionar, se julgar necessrio, objetivos de controle e
controles adicionais aos j existentes na tabela abaixo.

Pgina 36 de 67

Teoria e Exerccios
Os objetivos de controle e controles da tabela abaixo devem ser selecionados
como parte do processo de SGSI. Ento vamos a eles:
Pgina 37 de 67

Teoria e Exerccios
Pgina 38 de 67

Teoria e Exerccios
Pgina 39 de 67

Teoria e Exerccios
Pgina 40 de 67

Teoria e Exerccios
Pgina 41 de 67

Teoria e Exerccios
13. (CESPE - 2013 - TRE/MS) Para proteger uma rea que abriga recursos de processamento
da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou
uma porta com controle de acesso por carto, de modo a que somente os colaboradores
previamente autorizados possam acessar esse ambiente.
Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada pelo
rgo pblico associa-se
a) validao de dados de sada.
b) ao controle de vulnerabilidades.
c) ao controle contra cdigos mveis.
d) ao controle de permetro de segurana fsica.
e) coordenao de segurana da informao.
Comentrio:
Gabarito: D
Pgina 42 de 67

Teoria e Exerccios
Pgina 43 de 67

Teoria e Exerccios
14. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as normas
da ABNT, julgue os itens a seguir.
A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que
estabelece orientao para segurana dos cabeamentos de energia e de telecomunicaes,
destacando o modo como esses cabeamentos devem ser protegidos contra interceptao
ou danos.
Comentrio:
Observe a referncia do assunto da ISO 27001, em nenhum momento ela mostra o modo
como esses cabeamentos devem ser protegidos, por isso a questo est errada.
Gabarito: ERRADO
Pgina 44 de 67

Teoria e Exerccios
Pgina 45 de 67

Teoria e Exerccios
Pgina 46 de 67

Teoria e Exerccios
Pgina 47 de 67

Teoria e Exerccios
15. (CESPE - 2013 CNJ) Acerca da gesto de segurana da informao, conforme as normas
De acordo com a norma ABNT NBR ISO/IEC 27001, informaes publicamente
disponibilizadas pela organizao no requerem mecanismos de proteo para a sua
visualizao e modificao.
Comentrio:
Gabarito: ERRADO
Pgina 48 de 67

Teoria e Exerccios
Pgina 49 de 67

Teoria e Exerccios
Nossa, parece que esse suplcio no vai mais acabar, aguentem s mais um
pouco. Segue uma questo pra quebrar o clima e relaxar.
16. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de
Recursos, a organizao deve determinar e prover os recursos necessrios para
a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade
podem causar aos ativos.
c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e
fornecedores.
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um SGSI.
e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.
Comentrio:
Observe o tpico acima.
A organizao deve determinar e prover os recursos necessrios para:
Estabelecer, implementar, operar, monitorar, analisar criticamente, manter
e melhorar um SGSI;
Assegurar que os procedimentos apoiam os requisitos de negcio;
Identificar e tratar os requisitos legais e regulamentares e obrigaes
contratuais;
Manter a segurana da informao adequada;
Realizar anlises crticas;
Reagir adequadamente aos resultados das anlises crticas; e
Melhorar a eficcia do SGSI.
Gabarito: D
Pgina 50 de 67

Teoria e Exerccios
Pgina 51 de 67

Teoria e Exerccios
Pgina 52 de 67

Teoria e Exerccios
Pgina 53 de 67

Teoria e Exerccios
Pgina 54 de 67

Teoria e Exerccios
Pgina 55 de 67

Teoria e Exerccios
Pgina 56 de 67

Teoria e Exerccios
17. (CESPE - 2013 - SERPRO) Com base nas normas de segurana da informao, julgue o
item seguinte.
De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas
essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir
(Act).
Comentrio:
Gesto de segurana:
Gabarito: CERTO
13. Princpios da OECD e o modelo PDCA descrito da ISO 27001
Primeiro o que OECD?
A Organizao para a Cooperao e Desenvolvimento Econmico uma
organizao internacional composta por de 34 pases que aceitam os princpios

da democracia representativa e da economia de livre mercado, que procura
fornecer uma plataforma para comparar polticas econmicas, solucionar
problemas comuns e coordenar polticas domsticas e internacionais.
Mais o que essa Organizao tem a ver com segurana da informao e
principalmente com o nosso contexto?

Pgina 57 de 67

Teoria e Exerccios
Os princpios definidos pelas Diretrizes de OECD para a Segurana de
Sistemas de Informao e Redes aplicam-se para toda a poltica e nveis

operacionais que governam a segurana de sistemas de informao e redes.
A ISO 27001 prov uma estrutura de um sistema de gesto de segurana da
informao para implementar alguns dos princpios da OECD que usam o

modelo PDCA e os processos descritos nos itens (J vistos em nossa aula de
hoje):
Sistema de gesto de segurana da informao;
Responsabilidades da direo;
Auditorias internas do SGSI; e
Melhoria do SGSI.
Os princpios esto descrito na tabela abaixo:
Pgina 58 de 67

Teoria e Exerccios
14. Correspondncia entre as ISO 9001, 14001 e 27001

Vamos acabar logo com esse sofrimento, observe a correspondncia na tabela
abaixo:
18. (CESPE - 2012 -TRE/RJ) A poltica de segurana da informao integra o SGSI e a diretriz
para a implementao dessa poltica detalhada na referida norma.
Comentrio:
A ISO 27001 possui os requisitos para aplicao do SGSI. As diretrizes so definidas pela ISO
27002. Portanto a questo est errada.
Gabarito: ERRADO
Pgina 59 de 67

Teoria e Exerccios
19. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o
item subsequente.
A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais
Pgina 60 de 67

Teoria e Exerccios
tecnolgicos que devem ser implementados nos servidores de arquivos e equipamentos de
conectividade, para controle de acesso de usurios maliciosos.
Comentrio:
Na NBR ISO/IEC 27001 os controles de segurana so apenas citados e so muito
abrangentes, e podem ter vrias interpretaes. J a NBR ISO/IEC 27002 contem todos os
controles que 27001 s que com explicaes e exemplos de implementao.
Gabarito: ERRADO
15. Lista das Questes Utilizadas na Aula.

1. (FCC - 2011 - TRT - 14 Regio - RO e AC) Estabelecer a poltica, objetivos, processos e
procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da
informao para produzir resultados de acordo com as polticas e objetivos globais de uma
organizao. No modelo PDCA aplicado aos processos do SGSI da NBR ISO/IEC 27001, esta
definio pertence a
a) planejar.
b) agir.
c) fazer.
d) confidencializar.
e) checar.
2. (CESPE - TCU - 2010) Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do
sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer)
equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do
SGSI.
( ) Certo
( ) Errado
3. (FCC - 2011 - TRT - 4 REGIO/RS) A norma ABNT NBR ISO/IEC 27001:2006 cobre
organizaes do tipo
a) comerciais, somente.
b) governamentais, somente.
Pgina 61 de 67

Teoria e Exerccios
c) sem fins lucrativos, somente.
d) comerciais e governamentais, somente.
e) comerciais, governamentais e sem fins lucrativos.
4. (CESPE - 2012 - Banco da Amaznia) A respeito de aspectos gerais da norma ABNT NBR
ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre
que empregada, refere-se a sistema de gesto da segurana da informao
De acordo com a referida norma, a excluso de qualquer critrio de aceitao dos riscos
deve ser feita mediante justificativa e evidncias de que os riscos sero aceitos pelas
pessoas responsveis por eles.
5. (CESPE - 2012 - TJ/AL) Com base na NBR ISO/IEC n. 27.001/2006, assinale a opo
correta acerca de definies relacionadas gesto de segurana da informao.
a) O sistema de gesto da segurana da informao (SGSI), componente do sistema de
gesto global que se fundamenta na abordagem de riscos do negcio, responsvel pelo
estabelecimento, implementao, operao, monitoramento, anlise crtica, manuteno e
melhoramento da segurana da informao.
b) Gesto de riscos consiste no processo de comparar o risco estimado com os critrios de
risco predefinidos, a fim de determinar a importncia do risco.
c) Evento de segurana da informao um evento (ou uma srie de eventos) que ocorre
de maneira indesejada ou inesperada, podendo comprometer as operaes do negcio e
ameaar a segurana da informao.
d) O incidente de segurana da informao consiste em um incidente que, caso seja
identificado em um estado de sistema, servio ou rede, indica a ocorrncia de uma possvel
violao da poltica de segurana da informao, bem como de uma falha de controles ou
de uma situao previamente desconhecida que possa ser relevante segurana da
informao.
e) Confidencialidade corresponde propriedade de classificar uma informao sigilosa
como confidencial.
Pgina 62 de 67

Teoria e Exerccios
6. (FCC - 2011 - TRT - 1 REGIO (RJ) De acordo com a NBR ISO/IEC 27001, integridade
a) a propriedade de a informao estar acessvel e utilizvel sob demanda por uma entidade
autorizada.
b) a propriedade de que a informao no esteja disponvel ou revelada a indivduos,
entidades ou processos no autorizados.
c) a possvel violao da poltica de segurana da informao ou falha de controles.
d) a propriedade de salvaguarda da exatido e completeza de ativos.
e) qualquer coisa que tenha valor para a organizao.
7. (CESPE - ANEEL - 2010) Os objetivos de controle e os controles pertinentes e aplicveis ao

SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e
concluses dos processos de anlise/avaliao de riscos e de decises acerca de como
controlar, evitar, transferir ou aceitar tais riscos.
8. (FCC - 2013 - TRT - 18 Regio/GO) A Norma NBR ISO/IEC 27001:2006, na seo que trata
do estabelecimento e gerenciamento do SGSI, orienta que a organizao deve definir uma
poltica do SGSI nos termos das caractersticas do negcio, sua localizao, ativos e
tecnologia que observe as caractersticas listadas abaixo, EXCETO:
a) obtenha a autorizao dos stakeholders (partes interessadas).
b) inclua uma estrutura para definir objetivos e estabelea um direcionamento global e
princpios para aes relacionadas com a segurana da informao.
c) considere requisitos de negcio, legais e/ou regulamentares, e obrigaes de segurana
contratuais.
d) esteja alinhada com o contexto estratgico de gesto de riscos da organizao no qual o
estabelecimento e manuteno do SGSI iro ocorrer.
e) estabelea critrios em relao aos quais os riscos sero avaliados.
9. (CESPE - 2012 - TRE/RJ) De acordo com o estabelecido na mencionada norma, a

organizao, para o estabelecimento de um SGSI, deve definir o plano diretor de tecnologia
da informao e a abordagem para a avaliao de riscos.
Pgina 63 de 67

Teoria e Exerccios
10. (FCC - 2012 - TJ/PE) A eficcia dos controles para verificar se os requisitos de segurana
da informao foram atendidos deve ser medida, no Sistema de Gesto de Segurana da
Informao (SGSI), nas fases
a) estabelecer e gerenciar o SGSI.
b) monitorar e analisar criticamente o SGSI.
c) planejar e implantar o SGSI.
d) implementar e operar o SGSI.
e) manter e melhorar o SGSI.
11. (FCC - 2012 - TRT - 11 Regio/AM) Segundo a norma ISO 27001, para se estabelecer o
Sistema de Gesto de Segurana da Informao (SGSI), considere:
I. A organizao deve definir uma poltica do SGSI nos termos das caractersticas do negcio,
a organizao, sua localizao, ativos e tecnologia que esteja alinhada com o contexto
estratgico de gesto de riscos da organizao no qual o estabelecimento e manuteno do
SGSI iro ocorrer.
II. A organizao deve definir a abordagem de anlise/avaliao de riscos da organizao e
desenvolver critrios para a aceitao de riscos e identificar os nveis aceitveis de risco.
III. Identificar e avaliar as opes para o tratamento de riscos, sendo uma possvel ao
aceitar os riscos consciente e objetivamente, desde que satisfaam claramente s polticas
da organizao e aos critrios de aceitao de riscos.
Est correto o que se afirma em
a) I e II, apenas.
b) I e III, apenas.
c) II, apenas.
d) III, apenas.
e) I, II e III.
Pgina 64 de 67

Teoria e Exerccios
12. (CESPE - 2009 - TCU) A respeito do diagrama acima, que apresenta um modelo
conceitual sistmico da norma ABNT NBR ISO/IEC 27001, julgue o item.
Entre os documentos e registros cujo controle demandado pela ISO 27001, destacam-se
como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao de
risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros de
visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros
registros, inclusive de no conformidade.
13. (CESPE - 2013 - TRE/MS) Para proteger uma rea que abriga recursos de processamento
da informao, um rgo pblico, com base na norma ABNT NBR ISO/IEC 27001, instalou
uma porta com controle de acesso por carto, de modo a que somente os colaboradores
previamente autorizados possam acessar esse ambiente.
Nessa situao hipottica, de acordo com a referida norma da ABNT, a medida adotada pelo
rgo pblico associa-se
a) validao de dados de sada.
b) ao controle de vulnerabilidades.
c) ao controle contra cdigos mveis.
d) ao controle de permetro de segurana fsica.
e) coordenao de segurana da informao.
14. (CESPE - 2013 - CNJ) Acerca da gesto de segurana da informao, conforme as normas
A segurana fsica e do ambiente descrita na norma ABNT NBR ISO/IEC 27001, que
estabelece orientao para segurana dos cabeamentos de energia e de telecomunicaes,
Pgina 65 de 67

Teoria e Exerccios
destacando o modo como esses cabeamentos devem ser protegidos contra interceptao
ou danos.
15. (CESPE - 2013 CNJ) Acerca da gesto de segurana da informao, conforme as normas
De acordo com a norma ABNT NBR ISO/IEC 27001, informaes publicamente
disponibilizadas pela organizao no requerem mecanismos de proteo para a sua
visualizao e modificao.
16. (FCC - 2012 - TRT - 6 Regio/PE) Segundo a ISO/IEC 27001, em relao Proviso de
Recursos, a organizao deve determinar e prover os recursos necessrios para
a) avaliar a necessidade de aes para assegurar que as no conformidades no ocorram.
b) identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade
podem causar aos ativos.
c) transferir os riscos associados ao negcio a outras partes, por exemplo, seguradoras e
fornecedores.
d) estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar
um SGSI.
e) desenvolver critrios para a aceitao de riscos e identificar nveis aceitveis de risco.
17. (CESPE - 2013 - SERPRO) Com base nas normas de segurana da informao, julgue o
item seguinte.
De acordo com a norma ISO 27001, a gesto de riscos um processo que inclui preveno,
deteco e resposta a incidentes, atuao, manuteno, anlise crtica e auditoria. Todas
essas etapas so contempladas nas fases Planejar (Plan), Fazer (Do), Checar (Check) e Agir
(Act).
Pgina 66 de 67

Teoria e Exerccios
18. (CESPE - 2012 -TRE/RJ) A poltica de segurana da informao integra o SGSI e a diretriz
para a implementao dessa poltica detalhada na referida norma.
19. (CESPE - 2008 SERPRO) A respeito das normas de segurana da informao, julgue o
item subsequente.
A ISO/IEC 27001:2006 a principal norma de mercado acerca de aspectos operacionais
tecnolgicos que devem ser implementados nos servidores de arquivos e equipamentos de
conectividade, para controle de acesso de usurios maliciosos.
16.Gabarito.
1.
11. E
2.
ERRADO
12. CERTO
3.
13. D
4.
CERTO
14. ERRADO
5.
15. ERRADO
6.
16. D
7.
ERRADO
17. CERTO
8.
18. ERRADO
9.
ERRADO
19. ERRADO
10. B
Pgina 67 de 67

Aula 00 Demo CG Ati Gsi Mpog 6309

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Aula 00 Demo CG Ati Gsi Mpog 6309

Transféré par

Droits d'auteur :

Formats disponibles

MPOG (Cargo: Analista - TI) Gesto de

Segurana da Informao Aula 00

AULA 00: 7.1. Normas ABNT: NBR 27001:2005 (Sistema de

Apresentao do curso. ...................................................................................................... 3

1.1. A Banca. .............................................................................................................................. 4

Contedo programtico e planejamento das aulas (Cronograma) .................................... 5

Informaes iniciais ............................................................................................................ 7

4.1. Abordagem de processo ..................................................................................................... 8

5.1. Aplicao ........................................................................................................................... 13

Termos e definies .......................................................................................................... 14

Sistema de gesto de segurana da informao .............................................................. 18

7.1. Estabelecendo e gerenciando o SGSI................................................................................ 18

Implementar e operar o SGSI - A organizao deve ................................................. 23

Monitorar e analisar criticamente o SGSI - A organizao deve............................... 23

Manter e melhorar o SGSI A organizao deve regularmente: ............................. 25

MPOG (Cargo: Analista - TI) Gesto de

Controle de registros ................................................................................................. 28

Responsabilidades da direo .......................................................................................... 30

8.1. Gesto de recursos ........................................................................................................... 31

Treinamento, conscientizao e competncia ......................................................... 31

Auditorias internas do SGSI .............................................................................................. 31

10. Anlise crtica do SGSI pela direo .................................................................................. 33

Entradas para a anlise crtica devem incluir............................................................ 33

Sadas da anlise crtica ............................................................................................. 34

11. Melhoria do SGSI .............................................................................................................. 34

12. Objetivos de controle e controles .................................................................................... 36

MPOG (Cargo: Analista - TI) Gesto de

MPOG (Cargo: Analista - TI) Gesto de

1.2. Metodologia das aulas.

MPOG (Cargo: Analista - TI) Gesto de

2. Contedo programtico e planejamento das aulas (Cronograma)

Contedo a ser trabalhado

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

Informao) 6.1. Poltica de segurana (processos de definio, implantao e

gesto de polticas de segurana e auditoria). 6.2. Classificao da informao. 6.4.

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

7.1. Normas ABNT: NBR 27001:2005 (Sistema de Gesto de Segurana da

Informao), NBR 27002:2005 (Cdigo de Boas Prticas em Segurana da

MPOG (Cargo: Analista - TI) Gesto de

NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

administrao de crises, plano de continuidade operacional, plano de recuperao

de desastres, plano de testes). 6.3. Gesto de risco em segurana da informao

NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

administrao de crises, plano de continuidade operacional, plano de recuperao

de desastres, plano de testes). 6.3. Gesto de risco em segurana da informao

NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

administrao de crises, plano de continuidade operacional, plano de recuperao

de desastres, plano de testes). 6.3. Gesto de risco em segurana da informao

NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

administrao de crises, plano de continuidade operacional, plano de recuperao

de desastres, plano de testes). 6.3. Gesto de risco em segurana da informao

NBR 27005:2005 (Gesto de Riscos de Segurana), NBR 15999:2007 e ABNT NBR

MPOG (Cargo: Analista - TI) Gesto de

15999-2:2008 (Gesto de Continuidade do Negcio). 6.6. Gesto de continuidade

Nossa aula de hoje abordar os assuntos referentes NBR ISO/IEC 27001.

MPOG (Cargo: Analista - TI) Gesto de