I, II e III, apenas.

I, II e IV, apenas.

I, III e IV, apenas.

II, III e IV, apenas.

I, II, III e IV.

Medidas de segurança podem ser definidas como ações que visam eliminar riscos para evitar a concretização de uma vulnerabilidade.

O vazamento de informação e falha de segurança em um software constituem vulnerabilidades.

Roubo de informações e perda de negócios constitui ameaças.

Medidas de segurança podem ser definidas como ações que visam eliminar vulnerabilidades para evitar a concretização de uma ameaça.

Área de armazenamento sem proteção e travamento automático da estação após período de tempo sem uso constituem ameaça.

adere parcialmente às expectativas de uma PSI, pois a política deve ser única, e não deve levar em conta características humanas e legais do país no qual ela é aplicada.

adere parcialmente às expectativas de uma PSI, tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos.

adere integralmente a formulação de uma PSI, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.

adere parcialmente às expectativas de uma PSI, porque os atributos do interlocutor não devem constituir relevância, já que todos os usuários, presumivelmente, foram selecionados pela empresa para entenderem a tecnologia usada.

não atende aos propósitos de uma PSI, pois linguagem, estilo e interlocutor não podem sobrepor-se à linguagem tecnológica e é preciso levar em conta a cultura do país no qual ela é aplicada, a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor.

confidencialidade, integridade e autenticidade.

autenticidade, confidencialidade e irretratabilidade.

confidencialidade, confidencialidade e irretratabilidade.

autenticidade, confidencialidade e autenticidade.

integridade, confidencialidade e integridade.

O proprietário e a classificação da informação devem ser acordados e documentados para cada um dos ativos de informação. O mesmo nível de proteção deve ser identificado e aplicado a todos os ativos de informação.

Um sistema de classificação da informação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

A informação deve ser classificada exclusivamente em termos do seu valor, sensibilidade e criticidade para a organização.

A responsabilidade de definir a classificação de um ativo, analisá-lo, e assegurar que ele esteja atualizado e no nível apropriado é de todos os funcionários da organização.

A informação nunca deixa de ser sensível ou crítica, mesmo quando se torna pública.

Estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

Os objetivos de controle e os controles desta Norma têm como finalidade ser implementados para atender aos requisitos identificados exclusivamente por meio da classificação das informações.

Um incidente de segurança da informação é indicado por um evento de segurança da informação esperado, que tenha uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

A gestão de riscos consiste no processo de seleção e implementação de medidas para modificar um risco. Inclui a análise, o tratamento e a comunicação de riscos e exclui a aceitação de riscos.

Contém 9 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais de segurança e uma seção introdutória que aborda a questões de contingência.

I, II, III e IV.

I, II e IV, apenas.

II e III, apenas.

II, apenas.

I e III, apenas.

Alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico.

O inventário do ativo deve incluir apenas seu tipo, formato e localização, pois essas são as únicas informações relevantes para o caso da recuperação de um desastre.

A implementação de controles específicos não pode ser delegada pelo proprietário do ativo, mesmo sendo ele o único responsável pelos controles e pela proteção adequada de seus ativos.

Todos os ativos devem ter um alto nível de proteção pois, independentemente da sua importância, possuem valor para o negócio.

O processo de compilação de um inventário de ativos é importante, mas não é pré-requisito no gerenciamento de riscos.

estabelecer e gerenciar o SGSI.

monitorar e analisar criticamente o SGSI.

planejar e implantar o SGSI.

implementar e operar o SGSI.

manter e melhorar o SGSI.

utilizar a arquitetura em cascata e efetuar programação em pares.

definir a funcionalidade do protótipo e avaliar o protótipo.

definir o esboço dos requisitos e estabelecer objetivos do protótipo.

utilizar arquiteturas baseadas em componentes e modelar os softwares visualmente.

desenvolver teste inicial a partir de cenários e utilizar frameworks de testes automatizados.