Uma instituição financeira está revisando seus contratos com fornecedores de nuvem (cloud providers) para garantir conformidade com as normas de segurança da informação. Durante esse processo, a equipe de GRC (Governança, Risco e Compliance) identificou a necessidade de:

• Formalizar requisitos de segurança em contratos.

• Avaliar riscos específicos de terceirização.

• Implementar monitoramento contínuo.

Com base na NBR ISO/IEC 27001:2022 e 27002:2022, considere as seguintes afirmações a seguir:

I. O controle A.5.23 (Segurança da informação para uso de serviços em nuvem) da NBR ISO/IEC 27002:2022 fornece diretrizes para mitigar riscos associados a fornecedores, incluindo avaliação de controles de segurança antes da contratação.

II. A avaliação de fornecedores pode considerar certificações independentes (ex: NBR ISO/IEC 27001 ou SOC 2) como evidência de conformidade com requisitos de segurança.

III. A NBR ISO/IEC 27001:2022, por meio do controle A.5.22 (Gestão de segurança da informação nas relações com fornecedores), exige formalmente que contratos com fornecedores incluam cláusulas específicas sobre segurança da informação, especificações no uso de criptografia nos dados em repouso, e métodos de autenticação e autorização.


É correto o que se afirma em: