A NBR ISO/IEC 27001 foi preparada para prover
requisitos que estabeleçam um sistema de gestão de segurança da
informação (SGSI), ao passo que a ISO/IEC 27002 foi projetada
para organizações que usem a norma como uma referência para
selecionar controles no processo de implementação do SGSI.
Em relação a essas normas, assinale a opção correta.
A De acordo com a NBR ISO/IEC 27002, a informação sobre
logs deve ser acessível a todos, de forma a ofertar a maior
transparência possível aos gestores da organização, excluídas
as atividades de administrador de sistemas, que não precisam
ser controladas sob o princípio da tutela da confidencialidade.
B A NBR ISO/IEC 27001 trata de auditoria interna no SGSI,
com intervalos planejados conduzidos pela organização; já a
NBR ISO/IEC 27002 trata de atividades e requisitos de
auditoria que envolvem a verificação dos sistemas
operacionais, com o objetivo de minimizar interrupções nos
processos de negócio.
C Um dos controles da NBR ISO/IEC 27002 afetos à segurança
dos sistemas diz respeito à implantação de criptografia
assimétrica nos sistemas relevantes, com fulcro a proteger a
informação tendo como base que cada um desses sistemas deve
possuir sua própria referência de fonte de tempo para isolá-los
em caso de ataques.
D Determinar os riscos e as oportunidades que necessitam ser
considerados pelo sistema faz parte da NBR ISO/IEC 27001,
mas o tratamento dos riscos limita-se à NBR ISO/IEC 27002.
E De acordo com a NBR ISO/IEC 27001, o SGSI não aborda
controles afetos a processos terceirizados, uma vez que os
fornecedores são tratados como parte de controles, logo
concernentes à NBR ISO/IEC 27002.