Um órgão público responsável pelo controle externo do Poder Executivo de uma unidade da Federação desenvolveu um conjunto de processos de auditoria de conformidade na gestão da segurança da informação. As organizações para as quais o órgão presta serviço implementaram sistemas de gestão da segurança da informação, por força de normas, em aderência aos modelos desenvolvidos pela ABNT e ISO/IEC, especialmente os prescritos nas normas 15.999, 27.001, 27.002 e 27.005. Uma vez que várias organizações a serem auditadas já passaram cerca de dois anos implementando seus sistemas de gestão, um questionário de avaliação preliminar foi aplicado pelo órgão de controle externo nas organizações clientes. Diferentes controles do sistema de segurança da informação foram avaliados pelos respondentes, tanto os de natureza física e lógica quanto os organizacionais. A partir do recebimento dos resultados do questionário preliminar, os auditores efetuaram uma visita à organização e produziram diversos julgamentos acerca da possível adequação dos controles implementados aos modelos das normas mencionadas.
Tendo como referência as informações contidas na situação hipotética apresentada acima, julgue os itens a seguir, a respeito do julgamento realizado pelos auditores.
Se a equipe de uma organização realizou o processo formal de análise/avaliação de riscos apenas após a elaboração da primeira declaração de aplicabilidade, é correto afirmar que esse procedimento está aderente ao prescrito na Norma 27.001.
Navegue em mais questões
{TITLE}
{CONTENT}
