Questões sobre Políticas de Segurança de Informação

A LGPD prevê a realização do tratamento de dados pessoais, mediante o consentimento do titular dos dados, para o cumprimento de obrigação legal ou regulatória e para a realização de estudos ou a execução de contratos a pedido do titular. Entretanto, as situações que envolvam segurança pública e defesa nacional não serão objeto de aplicação da referida lei.

Considerando que, em determinada empresa de telefonia, a política de segurança contempla um conjunto de regras e diretrizes com o intuito de proteger as informações e os ativos da empresa, definindo normas/técnicas e melhores práticas para assegurar a autenticidade, legalidade, integridade, disponibilidade e confidencialidade da informação, é correto afirmar que, nessa situação, para assegurar confiabilidade, todas as informações da telefonia: custos, gastos de áreas, contestações, auditoria, rateio de custos, uso fora do horário e principais ofensores devem estar protegidas de acordo com o grau de sigilo necessário, com limitações de acesso estabelecidas por meio de perfis de acesso. 

   O Secure Software Development Framework (NIST) descreve níveis de implementação da estrutura (“tiers”) que fornecem contexto sobre como uma organização vê o risco de segurança cibernética e os processos em vigor para gerenciar esse risco.
Com base no texto precedente, assinale a opção que indica o nível de implementação da estrutura em que as práticas de gerenciamento de riscos da organização são formalmente aprovadas e expressas como política. 

Analise as afirmativas abaixo com relação à segurança da informação.
1. Uma Política de Segurança da Informação tem como objetivo prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.
2. A gestão da continuidade de negócios apresenta somente medidas de recuperação, com o objetivo de impedir a indisponibilidade de serviços e atividades do negócio, protegendo, assim, os processos críticos contra impactos causados por falhas ou desastres e, no caso de perdas, prover a recuperação dos ativos envolvidos e restabelecer o funcionamento normal da organização em um intervalo de tempo aceitável.
3. A gestão de incidentes de segurança da informação engloba a definição de responsabilidades e procedimentos efetivos para o controle de eventos adversos (incidentes) após a notificação. Sendo assim, a gestão de incidentes envolve procedimentos para a notificação de eventos adversos de segurança e aplicação de medidas adequadas para sua resolução.

Assinale a alternativa que indica todas as afirmativas corretas.

Analise as afirmativas abaixo com relação ao Sistema de Gestão da Segurança da Informação (SGSI).
1. O objetivo do contínuo aperfeiçoamento de um SGSI é aumentar a probabilidade de alcançar os objetivos da organização com relação à preservação da confidencialidade, disponibilidade e integridade da informação.
2. O tratamento de um risco não deve criar novos riscos.
3. Um SGSI se aplica somente para empresas de grande porte devido à grande quantidade de controles demandados.

Assinale a alternativa que indica todas as afirmativas corretas.