Julgue os próximos itens, relativos à ISO/IEC 20000, norma de padrão global para gerenciamento de serviços de TI.

A ISO/IEC 20000 integra a abordagem de processos embasados no sistema de gestão da qualidade ISO 9001 por meio da inclusão do ciclo PDCA (planejar, fazer, verificar e atuar) e da exigência da melhora contínua.

Julgue os próximos itens, relativos à ISO/IEC 20000, norma de padrão global para gerenciamento de serviços de TI.

Entre as diretrizes dessa norma, embasada nas melhores práticas da ITIL, inclui-se a adoção de um processo integrado de prestação e gestão eficaz dos serviços que responda aos requisitos de negócio e dos clientes.

De acordo com as normas NBR/ISO/IEC 15999 e 27005, julgue os próximos itens.

Uma ameaça pode causar impacto em vários ativos ou apenas em parte de um deles, podendo ter efeitos imediatos (operacionais) ou futuros (negócios).

No que se refere à classificação e controle de ativos da informação, segurança de ambientes físicos e lógicos e controle de acesso, julgue os itens que se seguem de acordo com as normas NBR/ISO/IEC 27001/2006 e 27002/2005.

Muitos serviços disponíveis na Internet enviam senhas temporárias aos seus usuários. De acordo com a norma NBR/ISO/IEC 27002/2005, essa prática é conveniente, desde que realizada de forma segura, procurando-se evitar o uso de correio eletrônico de terceiros ou sem criptografia.

No que se refere à classificação e controle de ativos da informação, segurança de ambientes físicos e lógicos e controle de acesso, julgue os itens que se seguem de acordo com as normas NBR/ISO/IEC 27001/2006 e 27002/2005.

Um arquivo de texto, uma IDE para desenvolvimento em linguagem C e um pendrive são classificados como ativos de software, de serviço e físico, respectivamente.

No que se refere à classificação e controle de ativos da informação, segurança de ambientes físicos e lógicos e controle de acesso, julgue os itens que se seguem de acordo com as normas NBR/ISO/IEC 27001/2006 e 27002/2005.

Alcançar e manter a proteção adequada dos ativos da organização é um objetivo de controle estabelecido na norma NBR/ISO/IEC 27001/2006. Associado a esse objetivo, há o controle relativo à remoção de propriedade, o qual determina que um ativo não mais utilizado por um proprietário deverá ser dele desvinculado.

De acordo com as normas NBR/ISO/IEC 27002/2005 e NBR/ISO/IEC 27001/2006 e com o modelo PDCA (plan, do, check, act), adotado por esta última para estruturar os processos do sistema de gestão da segurança da informação (SGSI), julgue os itens a seguir.

A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).

Acerca da situação descrita no texto acima e considerando o disposto na norma ISO/IEC 27002, julgue os itens subsequentes.

Na situação descrita, houve violações de confidencialidade, integridade e disponibilidade nos ativos da empresa.

Determinada empresa efetuou, de acordo com a norma ISO/IEC 27002, análise crítica da sua política de segurança, iniciando-a por uma área específica. Uma equipe interna de auditoria, composta por pessoas não relacionadas à área objeto de análise, foi montada especialmente para essa finalidade.

Considerando essa situação hipotética e o que dispõe a referida norma, julgue os itens a seguir.

Suponha que a equipe de auditoria, por meio da análise do documento de política de segurança da informação e dos controles estabelecidos para a área avaliada, tenha observado que a referida área estava provendo novos serviços disponibilizados via Web sem avaliação/análise de risco nem detalhamento dos controles de seguran... Ver mais

Determinada empresa efetuou, de acordo com a norma ISO/IEC 27002, análise crítica da sua política de segurança, iniciando-a por uma área específica. Uma equipe interna de auditoria, composta por pessoas não relacionadas à área objeto de análise, foi montada especialmente para essa finalidade.

Considerando essa situação hipotética e o que dispõe a referida norma, julgue os itens a seguir.

Segundo a norma mencionada, as informações de saída geradas pela análise crítica devem conter, entre outras, tendências relacionadas a ameaças e vulnerabilidades, assim como relatos acerca de incidentes de segurança ocorridos na área analisada.