A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção.

A norma referida recomenda que se realizem treinamento, educação e conscientização de pessoas apenas antes da contratação, para assegurar que os novos recursos humanos saibam agir com segurança diante das atividades a serem desenvolvidas por eles.

A coleta de informações e dados sobre o sítio ou os servidores do alvo é um dos principais pontos de partida de um ataque a redes de computadores.

A violação da política de segurança da informação deve ser apurada por meio da aplicação de processo disciplinar formal: é o que estabelece o controle de processo disciplinar contido no grupo de controle de segurança em recursos humanos.

Na figura, o elemento do ciclo de vida de GCN cujo objetivo é garantir a continuidade das atividades críticas e o gerenciamento dos incidentes é indicado por III.

A segurança lógica é responsável por medidas de controle que permitam que usuários e sistemas acessem informação que esteja explicitamente permitida. Nesse sentido, as etapas de autenticação e autorização são consideradas práticas inadequadas de segurança lógica.

Uma política adequada de backup deve explicitar o suporte que será utilizado e o procedimento que será adotado para a guarda das mídias usadas no backup e para o seu transporte de on-site para off-site. Essas informações, contudo, não estão explícitas no trecho da política em questão.

A abordagem em processo tem como ponto de partida a visão da gestão da segurança como um ciclo PDCA.

A definição, pela organização, dos critérios para aceitação do risco depende de suas políticas, metas e objetivos. Uma vez definidos, esses critérios devem ser utilizados para todas as classes de risco.

Acerca de gestão de segurança da informação, seus conceitos e definições, julgue os itens que se seguem.


A atividade de avaliação de riscos em segurança da informação consiste na identificação de fontes e estimativas de riscos por meio do uso sistemático de informações, obtidas mediante observação.