Questão nº 2
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 2)
A norma ISO/IEC 27001 é um padrão internacional que define requisitos a que um Sistema de Gestão de Segurança da Informação (SGSI) deve atender. Ela se divide em duas partes: o texto da norma em si, que descreve os requisitos de forma abrangente, e o Anexo A, mais detalhado e objetivo, que tem por função:
- Aestabelecer a política de certificação digital;
- Bespecificar os papéis e responsabilidades da alta administração;
- Cdelinear o processo de avaliação de riscos;
- Dfornecer orientação sobre a implementação de controles de segurança da informação; (alternativa correta)
- Edefinir o escopo do Sistema de Gestão de Segurança da Informação.
Resposta comentada
Gabarito Alternativa D
A ISO/IEC 27001 é um padrão internacional que ajuda as organizações a proteger suas informações, estabelecendo um Sistema de Gestão de Segurança da Informação (SGSI). Enquanto a parte principal da norma define os requisitos gerais, o Anexo A funciona como um catálogo ou uma lista de referência de medidas práticas, chamadas controles de segurança, que podem ser implementadas para proteger as informações.
- (A) Incorreta: O Anexo A não se limita a estabelecer políticas de certificação digital; ele lista uma ampla gama de controles de segurança.
- (B) Incorreta: Os papéis e responsabilidades da alta administração são definidos no corpo principal da norma (cláusulas 5.1 e 5.3), não no Anexo A.
- (C) Incorreta: O processo de avaliação de riscos é um requisito fundamental do corpo principal da norma (cláusulas 6.1.2 e 6.1.3). Armadilha da banca: Embora a seleção de controles do Anexo A seja baseada na avaliação de riscos, o Anexo A em si não delineia o processo de avaliação; ele apenas oferece os controles que podem ser aplicados como resultado dessa avaliação.
- (D) Correta: O Anexo A da ISO/IEC 27001 é uma lista de referência de objetivos de controle e controles de segurança da informação, projetada para ser usada como um guia prático para ajudar as organizações a selecionar e implementar os controles apropriados para gerenciar seus riscos de segurança da informação.
- (E) Incorreta: A definição do escopo do SGSI é um requisito do corpo principal da norma (cláusula 4.3), não uma função do Anexo A.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.