(1,0)
No processo de identificação das ameaças, devem-se considerar o não atendimento à legislação, agentes de danos físicos ou tecnológicos, ações não autorizadas e aspectos culturais
Na fase “planejar” de um SGSI, define-se o contexto, procede-se à avaliação de riscos, desenvolve-se o plano de tratamento do risco e definem-se os critérios de aceitação do risco
A existência de vulnerabilidade, ainda que não se verifique ameaça a ela relacionada, requer, necessariamente, a implementação de controle apropriado
De acordo com a NBR ISO/IEC 27005, julgue os próximos itens.A conscientização dos gestores a respeito dos riscos, da natureza dos controles aplicados para mitigá-los e das áreas definidas como de interesse pela organização auxilia a organização na gestão dos incidentes e eventos previstos, porém não influencia no tratamento dos incidentes não previstos
O tempo objetivado de recuperação (recovery time objective) é o tempo-alvo para a retomada da entrega de produtos, serviços ou atividades após a ocorrência de um incidente
A alta direção deve participar da análise crítica da capacidade de gestão da continuidade do negócio da organização, de forma a garantir sua aplicabilidade, adequação e funcionalidade
O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização
A política de gestão da continuidade de negócios (GCN), proposta pela direção administrativa da empresa, deve ser aprovada pela alta direção e, em seguida, comunicada somente aos empregados da área de TI, já que o sigilo é imprescindível para o seu sucesso
Define-se a análise de impacto nos negócios — do inglês business impact analysis (BIA) — como o processo de análise das funções de negócio e dos possíveis efeitos causados nessas funções por uma interrupção
A organização deve manter e melhorar a eficiência e a eficácia do SGCN por meio de ações corretivas e preventivas, quando assim determinar a análise crítica da direção
A gestão de riscos de uma organização só será considerada eficiente se conseguir eliminar todos os riscos internos e também os externos
Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização
O plano de recuperação de negócios visa, entre outros objetivos, prevenir maiores perdas ou indisponibilidade de atividades críticas e dos recursos que as suportam
Um plano de gerenciamento de incidentes cria condições para que a organização gerencie todas as fases de um incidente
A respeito de prevenção e tratamento de incidentes, julgue os itens que se seguem.Convém que as organizações adotem uma estrutura simples, que permita uma rápida reestruturação e a confirmação da natureza e da extensão do incidente, além de possibilitar o controle da situação e do incidente e a comunicação com as partes interessadas
Recuperar senha
