Curso: Graduação Tecnológica em Segurança da Informação Atividade: Sistema de Gestão da Segurança da Informação (SGSI) Professor: Leonardo Lemes Fagundes Aluno:
Verificação Individual (Grau A – 4,0) Questão 01: O processo de Gestão de Riscos compreende um conjunto de atividades coordenadas com o objetivo de administrar os riscos aos ativos da organização. Descreva o processo de gestão de riscos em detalhes. (1.0 ponto) Vide estrutura da ISO 27005 Questão 02: Qual a diferença / relação entre política do SGSI e política de segurança da informação? Existe diferença? Se você entender que existe diferença explique os requisitos para compor cada tipo de política. No caso contrário, justifique a sua resposta. (1.0 ponto) Sim, existe diferença. A política do SGSI é, conforme consta na norma, um documento maior da política de segurança da informação. Em outras palavras a política do SGSI descreve o que significa o SGSI para a organização e deve contemplar todos os requisitos definidos em 4.2.1.b, entre eles: estabelecer critérios em relação aos quais os riscos serão avaliados. Já a Política de Segurança da Informação é o conjunto de diretrizes, normas e procedimentos. Questão 03: No artigo “Key Strategies for Implementing ISO 27001” são enumeradas cinco recomendações para alcançar a conformidade com a ISO 27001. Descreva de maneira resumida essas recomendações. (1.0 ponto) - Identificar objetivos de negócio - Definir o escopo do SGSI - Determinar o nível de maturidade frente a ISO 27001 - Verificar a declaração de aplicabilidade - Analisar o retorno do investimento Questão 04: Explique o processo (entradas e saídas) de análise critica do SGSI pela Direção. (1.0 ponto) Vide os requisitos descritos em 7.2 e 7.3 (ISO 27001)