Exercícios de Gestão da Segurança da Informação – ISO 27001, 27002 e 27005
Módulo 01 : Exercícios CESPE (questões 01 a 50)Aula 01- apresentação do módulo
Professor Fernando Palma ITIL Expert, ISO 27002 Advanced Management (ISMAS), COBIT, OCEB
Contatos: [email protected], [email protected] www.portalgsti.com.br
Exercícios comentados - GSI
Seja bem vindo!
Sobre este material
Material das aulas de amostra do Módulo 01 – Exercícios CESPE
Aula 01
Curso disponível em: http://www.provasdeti.com.br/por-professor/a-m/fernando-palma/gsicespex1-para-concursos.html
Fernando Palma Consultor e professor em Governança de TI, Gestão de Serviços de TI e Gestão da Segurança da Informação. Mestrando em Administração de Empresas, graduado em Sistemas de Informação.Certificado ITIL Expert, ITIL Manager, ISO 27002 Advanced Management (ISMAS), OMG Expert em BPMN, ISO 20.000 Foundation, COBIT Foundation e ISO 27002 Foundation.
Treinou mais de 01 mil profissionais em ITIL e COBIT nos últimos 05 anos e trabalha também no segmento de ensino para concursos. É Professor de MBA na UNIJORGE e Ruy Barbosa em disciplinas de Gestão de Serviços de, Governança de TI e Gestão da Segurança da Informação. Atuou como coordenador de TI no Hospital da Bahia, consultor, coordenador de equipe de sistemas e gerente de servicedesk pela Avansys Tecnologia. Fundador e administrador do Portal GSTI: www.portalgsti.com.brContato: [email protected], [email protected]
Sobre o professor
O que veremos?
Módulo 01 (este módulo): 50 questões CESPETotal de 09 aulas
Módulo 02: + 50 questões CESPE*
Em breve: módulos de exercícios para FCC, ESAF e outras bancas!
* Não faz parte deste módulo
Estatísticas das questões – geral
Tema Conteúdo Quantidade PercentualISO 27001 Seção 00 a 03 4 8%
Seção 04 - SGSI 9 18%Seção 05 a 08 2 4%
ISO 27002 Seção 00 a 04 1 2%Diretrizes 14 28%
Controles – Anexo A ISO 27001 ou norma ISO 27002
14 28%
ISO 27005 3 6%Outros 3 6%
TOTAL 50 100%
Estatísticas das questões – geral
Controles x diretrizes (total de 28 questões)
14 questões – 50%14 questões -
50%
Juntos, representam + de 56% das 50 questões
Estatísticas das questões – controles e diretrizesSeção Quantidade Percentual
Seção 5 – Política de Segurança da Informação 5 18%
Seção 6 – Organizando a Segurança da Informação 2 7%
Seção 7 – Gestão de Ativos 2 7%
Seção 8 – Segurança em Recursos Humanos 1 3,5%
Seção 9 – Segurança Física e do Ambiente 2 7%
Seção 10 – Gestão das Operações e Comunicações 5 18%
Seção 11 – Controle de Acesso 2 7%
Seção 12 – Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
1 3,5%
Seção 13 – Gestão de Incidentes de Segurança 2 7%
Seção 14 – Gestão da Continuidade do Negócio 4 14%
Seção 15 – Conformidade 2 7%
TOTAL 28 100%
Dicas para melhor aproveitamento
Você irá se ajudar muito se...
Realizar o curso do professor Thiago Fagury, no site provas de TI: 04 módulos
Fizer a leitura das normas antes de resolver as questões Usar os resumos e mapas mentais extras disponibilizados para
quem adquiriu este curso de resolução de exercícios Apertar pause sempre que a leitura da questão foi concluída
Norma EscopoVisão Geral e Vocabulário
Requisitos de Sistemas de Gestão de Segurança da Informação
Código de prática para Gestão da Segurança da Informação
Diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação
Métricas de Sistemas de Gestão de Segurança da Informação
Diretrizes para o processo de Gestão de Riscos de Segurança da Informação
ISO 27000 ISO 27001
ISO 27002
ISO 27003
ISO 27005
ISO 27004
Mais : http://en.wikipedia.org/wiki/ISO/IEC_27000-series
ISO 27001
Norma ISO 27001
0. Introdução 1. Objetivo
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
5. Responsabilidades da direção
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
8. Melhoria do SGSI
Anexo A Objetivos
de controle e controles
Anexo B
Anexo CFernando Palma
ANEXO A ISO 27001
A 5.Política de segurança da informação
A6.Organizando a segurança da informação
A7.Gestão de Ativos
A8.Segurança em recursos humanos A9.Segurança Física e do Ambiente
A.10.Gerenciamento de operações e comunicações
A.11.Controle de Acesso
A.12.Aquisição, desenvolvimento e manutenção de sistemas da informação
A.13.Gestão de Incidentes de Segurança da informação A.14. Gestão de Continuidade dos Negócios
A.15.Conformidade
0. Introdução
0.1 Geral
0.2 Abordagem de processo
0.3 Compatibilidade com outros sistemas de gestão
1. Objetivo
1.1 Geral
1.2 Aplicação
2. Referência normativa
3. Termos e definições
4. Sistema de gestão de segurança da informação
4.1 Requisitos gerais 4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI 4.2.2 Implementar e operar o SGSI 4.2.3 Monitorar e analisar criticamente o SGSI 4.2.4 Manter e melhorar o SGSI
4.3 Requisitos de documentação 4.3.1 Geral 4.3.2 Controle de documentos 4.3.3 Controle de registros
5. Responsabilidades da direção
5.1 Comprometimento da direção
5.2 Gestão de recursos
5.2.1 Provisão de recursos
5.2.2 Treinamento, conscientização e competência
6. Auditorias internas do SGSI
7. Análise crítica do SGSI pela direção
7.1. Geral
7.2. Entradas para a análise crítica
7.3. Saídas da análise crítica
8. Melhoria do SGSI
8.1. Melhoria contínua 8.2 Ação corretiva 8.3 Ação preventiva
Partes Interessadas
Expectativas e requisitos
de Segurança
da Informação
Partes Interessadas
Segurança da
Informação Gerenciada
4.2.1 Estabelecimento
SGSI
4.2.3. Monitoramento e análise crítica do
SGSI
4.2.4. Manutenção e
Melhoria do SGSI
4.2.2. Implementação e Operação do SGSI
Plan
Do
Check
Act
Fernando Palma
4.2 Estabelecendo e gerenciando o SGSI Figura 1 — Modelo PDCA aplicado aos processos do SGSI
Anexo A ISO 27001
A.5.Política de segurança da informação
A.6.Organizando a segurança da informação
A.7.Gestão de Ativos
A.8.Segurança em recursos humanos
A.9.Segurança Física e do Ambiente
A.10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
ISO 27002
Norma ISO 27002
5.Política de segurança da informação6.Organizando a segurança da informação
7.Gestão de Ativos
8.Segurança em recursos humanos9.Segurança Física e do Ambiente
10.Gerenciamento de operações e comunicações
11.Controle de Acesso
12.Aquisição, desenvolvimento e manutenção de sistemas da informação
13.Gestão de Incidentes de Segurança da informação
14. Gestão de Continuidade dos Negócios
15.Conformidade
0. Introdução
0.1. O que é segurança da informação
0.2. Por que a segurança da informação é necessária?
0.3. Como estabelecer requisitos de segurança da informação?
0.4. Analisando/avaliando os riscos de Segurança da Informação
0.5. Seleção de controles
0.6. Ponto de partida para a segurança da informação
0.7. Fatores Críticos de Sucesso0.8. Desenvolvendo suas próprias diretrizes
1. Objetivo
3.1. Seções
3.2. Principais categorias de segurança da informação
3. Estrutura desta norma
2. Termos e definições
4. Análise/avaliação de tratamento de riscos
4.1. Analisando/avaliando riscos de segurança da informação
4.2. Tratando Riscos de Segurança da Informação
5. Política de segurança da informação
6. Organizando a Segurança da Informação
5.1. Política de segurança da Informação (5.1. 1. Documento 5.1.2. Análise crítica)
6.1. Organização interna
6.2. Partes Externas
7. Gestão de ativos
7.1. Responsabilidades pelos ativos
7.2. Classificação das informações
8.Segurança em recursos humanos
9.Segurança Física e do Ambiente
8.1. Antes da contratação
8.2. Durante a contratação
8.3. Encerramento ou mudança da contratação
9.1. Área segura
9.2. Segurança de equipamentos
10.Gerenciamento de operações e comunicações
10.1. Procedimentos e responsabilidades operacionais
10.2. Gerenciamento de serviços terceirizados
10.3. Planejamento e aceitação dos sistemas
10.4. Proteção contra códigos maliciosos e códigos móveis
10.5. Cópias de segurança
10.6. Gerenciamento da segurança em redes
10.7. Manuseio de mídias
10.8. Troca de informações
10.9. Serviços de comércio eletrônico
10.10. Monitoramento
11. Controle de acesso
11.1. Requisitos de negócio para controle de acesso
11.2. Gerenciamento de acesso do usuário
11.3. Responsabilidades dos usuários
11.4. Controle de acesso à rede
11.5. Controle de acesso ao sistema operacional
11.6. Controle de acesso à aplicações e a informação
11.7. Computação móvel e trabalho remoto
12. Aquisição, desenvolvimento e manutenção de sistemas da informação
12.1. Requisição de segurança de sistemas de informação
12.2. Processamento correto nas aplicações
12.3. Controles criptográficos
12.4. Segurança dos arquivos do sistema
12.5. Segurança em processos de desenvolvimento e de suporte
12.6. Gestão de vulnerabilidade técnicas
13. Gestão de Incidentes de Segurança da informação
13.1. Notificação de fragilidades e eventos de segurança da informação
13.2. Gestão de incidentes de segurança da informação e melhorias
14. Gestão de continuidade do negócio
14.1. Aspectos da gestão da continuidade do negócio relativos a segurança da informação
15. Conformidade
15.1. Conformidade com requisitos legais
15.2. Conformidade com normas e políticas de segurança da informação e conformidade técnica
15.3. Considerações quanto à auditoria de sistemas de informação
ISO 27005
(ISO 27005 - P. 8) Tabela 1 – Alinhamento do processo do SGSI e do processo de gestão de riscos de segurança da informação
Processo SGSI Processo de gestão de riscos de segurança da informação
Planejar - estabelecendo o SGSI
Definição do contexto Análise/avaliação de riscosPlano de tratamento do riscoAceitação do risco
Executar - Implementação e Operação do SGSI
Implementação do plano de tratamento do risco
Verificar - Monitoramento e análise crítica do SGSI
Monitoramento contínuo e análise crítica de riscos
Agir - Manutenção e Melhoria do SGSI
Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação
Fim da aula 01
Professor Fernando PalmaITIL Expert, COBIT, OCEB, Exin ISO 27002
Contato: [email protected], [email protected] www.portalgsti.com.br
Exercícios comentados - GSI
Módulo 01 : Exercícios CESPE (questões 01 a 50)
Top Related