Um plano de gerenciamento de incidentes cria condições para que a organização gerencie todas as fases de um incidente.

O plano de continuidade de negócios deve ser testado, de forma que se garanta sua correta execução a partir de instruções suficientemente detalhadas. Adotado esse plano, não convém que a organização providencie auditoria externa, já que essa auditoria poderá comprometer os dados sigilosos da organização.

Recuperação de erros, procedimentos de reinicialização e planos de contingência, apesar de serem bem específicos ao processo de aceitação de sistemas, devem ser considerados para minimizar os riscos de falhas de sistemas, no gerenciamento de operações e comunicações preconizado pela norma 27002.

Na parte 2 da figura, o elemento B corresponde aos resultados da continuidade de negócios que atendem aos requisitos e às expectativas iniciais das partes interessadas, como, por exemplo, a continuidade de negócios gerenciada.

A gestão de riscos de uma organização só será considerada eficiente se conseguir eliminar todos os riscos internos e também os externos.

Com base na NBR ISO/IEC 15999, julgue os itens de 97 a 104.


As apólices de seguro são estratégias eficazes e suficientes para o tratamento de risco, pois garantem recompensa financeira para as perdas mais significativas da organização.

As consequências da violação da política de segurança devem ser incluídas em um plano de tratamento de riscos, mas não devem fazer parte do documento da política em si.

Com base nos aspectos gerais da norma ABNT NBR ISO/IEC 27002, que estabelece o código de prática para a gestão da segurança da informação, julgue os itens que se seguem.

A conformidade não é um dos conteúdos da referida norma, pois não visa à obtenção de certificação, já que essa incumbência fica a cargo de empresas privadas responsáveis pala análise de conformidade da prática de empresas às práticas recomendadas tanto pela NBR 27002 quanto pela NBR 27001.

É fundamental, para que o processo de GCN seja corretamente introduzido na organização e se estabeleça como parte de sua cultura, a participação da alta direção. Na figura em apreço, a participação da alta direção corresponde à gestão do programa de GCN.

Acerca de ataques maliciosos a redes de computadores, julgue os itens seguintes.


Normalmente, no planejamento de um ataque, o invasor determina o caminho e os filtros de acesso implementados nos roteadores e firewalls.