Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.

A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.

A integração de novos controles de risco à infraestrutura existente e a interdependência entre controles existentes são fatores constantemente ignorados pelos gestores de segurança da informação.

Julgue os itens que se seguem com base na norma ISO 27001, que estabelece um conjunto de diretrizes e práticas de segurança da informação.

Os requisitos especificados nas seções de 4 a 8 da referida norma podem ser ignorados em casos de conformidade com o que a norma estabelece.

Em relação à política de segurança da informação, julgue os itens subsecutivos.

Um documento de política de segurança da informação pretende orientar a segurança da informação, conforme os requisitos de negócio e as leis e regulamentações relevantes para a instituição. Esse documento deve ser aprovado pela direção e comunicado amplamente aos seus colaboradores.

Em relação à política de segurança da informação, julgue os itens subsecutivos.

Convém que, em intervalos planejados, tendências relacionadas a ameaças e a vulnerabilidades de segurança da informação façam parte do processo de análise crítica da política de segurança da informação.

O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar a importância, a prioridade e o nível de proteção. A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado como confidencial deixará de existir.