Questões de Norma 27005 (Segurança da Informação)

Limpar Busca

Segurança da Informação Norma 27005 | Análise de Vulnerabilidade e Gestão de Riscos


Tribunal de Contas do Estado do Mato Grosso do Sul (TCE-MS) - Auditor de Controle Externo Área: Tecnologia da Informação - CESPE/CEBRASPE (2025)

Acerca das normas ABNT NBR ISO/IEC 27005 e ABNT NBR ISO/IEC 15999, assinale a opção correta.

  • A A ABNT NBR ISO/IEC 27005 foca auditorias financeiras, e a ABNT NBR ISO/IEC 15999 trata exclusivamente de criptografia de dados.
  • B A ABNT NBR ISO/IEC 27005 define métodos de continuidade de serviços críticos, e a ABNT NBR ISO/IEC 15999 orienta a avaliação de riscos em ativos de informação.
  • C A ABNT NBR ISO/IEC 27005 substitui a necessidade de controles de segurança, e a ABNT NBR ISO/IEC 15999 é aplicável apenas a pequenas empresas.
  • D Ambas as normas aplicam-se obrigatoriamente a empresas que lidam com dados pessoais de clientes.
  • E A ABNT NBR ISO/IEC 27005 fornece diretrizes para identificação, análise e tratamento de riscos em segurança da informação, e a ISO/IEC 15999 estabelece processos para a garantia da continuidade operacional diante de incidentes, falhas ou desastres.

Segurança da Informação Norma 27005 | Análise de Vulnerabilidade e Gestão de Riscos


Tribunal de Contas do Estado de Pernambuco (TCE-PE) - Auditor - Tecnologia da Informação - FGV (2025)

Uma empresa de tecnologia estava planejando lançar um novo serviço de transferência de arquivos em nuvem que envolvia o processamento de dados altamente sensíveis de clientes. Durante a fase de avaliação de segurança deste novo serviço, a equipe identificou uma vulnerabilidade crítica inerente à arquitetura proposta, que não poderia ser mitigada de forma eficaz com as tecnologias atuais e representava um risco inaceitável de vazamento de dados em larga escala. Diante disso, a diretoria decidiu cancelar o desenvolvimento e o lançamento desse serviço específico.
Com base no relato, assinale a opção que identifica corretamente a estratégia de tratamento de risco adotada pela diretoria dessa empresa de tecnologia.

  • A Transferência do risco.
  • B Mitigação do risco.
  • C Aceitação do risco.
  • D Evitar o risco.
  • E Compartilhamento do risco.

Segurança da Informação Norma 27005 | Análise de Vulnerabilidade e Gestão de Riscos


Conselho Regional dos Corretores de Imóveis - 11ª Região (SC) Assistente de T.I. - Prova Ibest (2025)

Durante a elaboração do plano de segurança da informação de uma organização pública, a equipe de TI realizou uma análise de riscos para identificar ameaças potenciais aos ativos de informação e definir as medidas de proteção adequadas. Nesse contexto, a gerência de riscos exige o conhecimento de ameaças, vulnerabilidades e impactos. Com base nas práticas recomendadas pelas normas de segurança da informação, assinale a alternativa que apresenta corretamente um aspecto essencial da gerência de riscos em TI.

  • A A análise de riscos inclui identificar ativos, vulnerabilidades, ameaças e avaliar os impactos e probabilidades.
  • B A gerência de riscos dispensa a identificação de ativos de informação, focando apenas em ameaças externas.
  • C Ameaças só devem ser consideradas se já tiverem causado incidentes anteriormente na organização.
  • D Ameaças são eventos totalmente imprevisíveis e, portanto, não podem ser tratados pela gerência de riscos.
  • E O gerenciamento de riscos em segurança da informação é restrito apenas ao setor de TI e não deve envolver outras áreas.

Segurança da Informação Norma 27005 | Análise de Vulnerabilidade e Gestão de Riscos


Ministério Público da União (MPU) - Analista do MPU Suporte e Infraestrutura - FGV (2025)

Mário trabalha em uma empresa que está elaborando seu plano de gerenciamento de riscos. Com o objetivo de estabelecer o valor de cada ativo na organização, ela precisa inicialmente identificar seus riscos em um nível de detalhamento adequado. Baseando-se na norma ABNT NBR ISO/IEC 27005:2019, sabe-se que os ativos são divididos em primários e de suporte.
Para facilitar o processo de identificação, Mário iniciou seu documento de ativos primários pelo:

  • A equipamento automático de processamento de dados, incluindo os itens necessários para sua operação independente;
  • B software para o gerenciamento de bases de dados e software de gerenciamento de fluxo de trabalho;
  • C pessoal de produção/manutenção e desenvolvedores;
  • D processo que contém procedimentos secretos e processos envolvendo tecnologia proprietária;
  • E meio físico e a infraestrutura, pontes (“relays”) passivas ou ativas e interface de comunicação.

Segurança da Informação ISO 27002 | Norma ISO 27001 | Norma 27005


Instituto Federal de Educação, Ciência e Tecnologia do Amazonas (IF-AM) - Analista de Tecnologia da Informação - FUNDATEC (2025)

Referente às normas de segurança NBR-ISO/IEC 27001, 27002 e 27005, analise as assertivas abaixo, assinalando V, se verdadeiras, ou F, se falsas.

( ) O padrão 27005 é o mais conhecido do mundo para sistemas de gerenciamento de segurança da informação (ISMS). Ele define os requisitos que um ISMS deve atender.
( ) O padrão 27002 é um modelo teórico para organizações que buscam proteger efetivamente seus funcionários contra ameaças internas. As empresas podem adotar uma abordagem reativa para o gerenciamento de riscos de segurança.
( ) O padrão ISO/IEC 27001 fornece às empresas de qualquer tamanho, e de todos os setores de atividade, orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação.
( ) O padrão 27002 é um padrão internacional que fornece orientação para organizações que buscam estabelecer, implementar e melhorar um sistema de gestão de segurança da informação (SGSI) focado em segurança cibernética.

A ordem correta de preenchimento dos parênteses, de cima para baixo, é:

  • A V – F – F – V.
  • B F – V – F – V.
  • C V – F – V – F.
  • D F – F – V – V.
  • E V – V – F – F.