Questão nº 10
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 10)
Um sistema de gestão de segurança da informação (SGSI) deve contemplar os requisitos de segurança necessários para assegurar a confidencialidade, integridade e disponibilidade da informação gerada pela organização. É necessário estabelecer o escopo e limites para a abrangência do SGSI.
Um aspecto que deve ser considerado na determinação do escopo do SGSI é (são):
- Aa liderança e o comprometimento da Alta Direção com o SGSI;
- Ba promoção da melhoria contínua do SGSI;
- Cos critérios para aceitação dos riscos a serem tratados pelo SGSI;
- Das questões internas e externas que afetam o alcance dos resultados do SGSI; (alternativa correta)
- Eos recursos para o alcance dos objetivos do SGSI.
Resposta comentada
Gabarito Alternativa D
Um SGSI (Sistema de Gestão de Segurança da Informação) é um conjunto de regras, processos e tecnologias que uma organização usa para proteger suas informações. O escopo do SGSI define exatamente quais informações, sistemas, processos e áreas da empresa serão protegidos por esse sistema.
- (A) Incorreta: A liderança e o comprometimento da Alta Direção são essenciais para o sucesso e implementação do SGSI, mas não são um fator que determina o que o SGSI vai cobrir (seu escopo).
- (B) Incorreta: A melhoria contínua é um processo contínuo dentro do SGSI, que ocorre depois que o escopo foi definido e o sistema está em operação, visando aprimorá-lo.
- (C) Incorreta: Os critérios para aceitação dos riscos são parte do processo de gestão de riscos que acontece dentro do SGSI, após o escopo ter sido estabelecido. Eles ajudam a decidir quais riscos, dentro do escopo, são aceitáveis. A armadilha aqui é confundir um elemento crucial da gestão de riscos (que opera dentro do SGSI) com um fator que define as fronteiras do próprio SGSI.
- (D) Correta: As questões internas e externas (como o ambiente legal, regulatório, tecnológico, cultural da organização e as necessidades das partes interessadas) são fundamentais para entender o contexto da organização e, assim, definir o que precisa ser incluído no escopo do SGSI para que ele seja eficaz e atinja seus objetivos.
- (E) Incorreta: Os recursos são necessários para implementar e manter o SGSI, mas não são um fator primário para definir o que deve ser protegido. Eles podem influenciar a viabilidade de um escopo, mas não sua determinação inicial.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.