Questões sobre Normas ISO/IEC - International Organization for Standardization/International Electrotechnical Commission

Julgue os próximos itens, relativos à ISO/IEC 20000, norma de padrão global para gerenciamento de serviços de TI.

Entre as diretrizes dessa norma, embasada nas melhores práticas da ITIL, inclui-se a adoção de um processo integrado de prestação e gestão eficaz dos serviços que responda aos requisitos de negócio e dos clientes.

Julgue os próximos itens, relativos à ISO/IEC 20000, norma de padrão global para gerenciamento de serviços de TI.

A ISO/IEC 20000 integra a abordagem de processos embasados no sistema de gestão da qualidade ISO 9001 por meio da inclusão do ciclo PDCA (planejar, fazer, verificar e atuar) e da exigência da melhora contínua.

Com relação às características e aos elementos de um modelo de sistema de gestão de segurança da informação (SGSI) de uma organização, segundo as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, julgue os itens de 110 a 114.

A análise crítica do SGSI da organização deve ser efetuada periodicamente pela alta direção, considerando os resultados de auditorias externas, entre outras informações. Essa análise assegura a contínua pertinência, adequação e eficácia do SGSI, e produz versões atualizadas da análise/avaliação de riscos e do plano de tratamento de riscos.

Acerca da gestão de riscos e da gestão de continuidade de negócios, que consistem em abordagens para o fortalecimento da segurança da informação, julgue os itens subsequentes, de acordo com as normas ISO 27005 e NBR 15999. Ativos, ameaças, controles existentes, vulnerabilidades e consequências são componentes que servem de insumos para a elaboração de cenários de incidentes e identificação de riscos.

Com relação às características e aos elementos de um modelo de sistema de gestão de segurança da informação (SGSI) de uma organização, segundo as normas NBR ISO/IEC 27001 e NBR ISO/IEC 27002, julgue os itens de 110 a 114.

A melhoria contínua do SGSI ocorre na forma de ações corretivas e preventivas, entre outras. Um exemplo de ação corretiva é a alteração na redação do documento da política de segurança da informação para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a não conformidades no cumprimento dessa política. Um exemplo de ação preventiva é a adoção de novos controles de acesso ao ambiente físico.