A referida norma é explícita ao afirmar que, em razão de seu caráter privativo, as políticas e procedimentos de segurança de uma organização não podem ser expostos à opinião de outros, o que impossibilita contatos com grupos de interesses especiais ou ainda a promoção de fóruns especializados de segurança da informação e associações profissionais.

De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.


A conscientização dos gestores a respeito dos riscos, da natureza dos controles aplicados para mitigá-los e das áreas definidas como de interesse pela organização auxilia a organização na gestão dos incidentes e eventos previstos, porém não influencia no tratamento dos incidentes não previstos.

No que se refere aos objetivos de controle, contidos no Anexo A (normativo) ABNT NBR ISO/IEC 27001, julgue os itens subsequentes.


Conforme prevê a norma em apreço, em acordo com terceiros referente à aquisição de produtos de TI, dispensa-se o controle do SGSI no que diz respeito a segurança da informação.

Uma informação deve ser classificada de acordo com os seus requisitos de confidencialidade, integridade e disponibilidade, não havendo, nessa norma, indicação de parâmetros para outros tipos de requisitos a serem considerados.

A respeito de aspectos gerais da norma ABNT NBR ISO/IEC 27001, julgue os itens a seguir. Nesse sentido, considere que a sigla SGSI, sempre que empregada, refere-se a sistema de gestão da segurança da informação


De acordo com a referida norma, a exclusão de qualquer critério de aceitação dos riscos deve ser feita mediante justificativa e evidências de que os riscos serão aceitos pelas pessoas responsáveis por eles.

Segundo a citada norma, convém que a política de segurança seja analisada crítica e periodicamente, à luz do resultado do desempenho do processo e de acordo com a política de segurança da informação.

Assinaturas SHA1 para certificados de 1.024 bits terminam com a sequência hexadecimal 9C:E2. Portanto, a chave pública do certificado mostrado na figura é de 1.024 bits.

Uma análise de riscos deve ser realizada periodicamente em um ambiente computacional, principalmente quando houver a mudança nos requisitos de segurança ou quando surgirem novas ameaças ou vulnerabilidades que ponham em risco a segurança.

O período máximo de interrupção tolerável da atividade crítica é indicado, na figura, por IV.

Uma característica dos vírus de computador do tipo worm é a sua incapacidade de se disseminar autonomamente: eles necessitam da intervenção de um usuário que os execute e, só assim, se propagam e infectam outros usuários.