Observe o que diz o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013:
6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
(...)
b) determinar todos os controles que são necessários para implementar as opções escolhidas do tratamento do risco da segurança da informação.
d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como ¿Não-conformidade¿?
1. Não se aplica a esta norma.
2. Indica uma simples observação a ser feita.
3. Não
4. Sim
5. Falta informação nessa checagem para classificar.
Soluções para a tarefa
Resposta:
4. Sim
Explicação:
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:
a) está em conformidade com:
1) os próprios requisitos da organização para o seu sistema de gestão da segurança da informação;
2) os requisitos desta Norma; (ABNT NBR ISO/IEC 27001:2013)
b) está efetivamente implementado e mantido.
"Conformidade também pode ser descrita como rastreabilidade, obrigação, flexibilidade, tolerância e obediência. Resumindo, uma organização deve observar seus próprios regulamentos internos, bem como as leis do país e os requisitos da legislação e regulamentos locais. Às vezes isso pode causar conflitos. Organizações multinacionais, em particular, devem aderir, por um lado, às suas próprias políticas internas, enquanto asseguram operar de forma consistente, fazendo o mesmo em relação à legislação e aos regulamentos locais e internacionais. Como resultado do que foi exposto, fica claro que produzir uma política interna dentro de uma organização é a maneira de entrar em conformidade. O primeiro passo para uma organização é produzir uma política declarando que deve cumprir a legislação nacional e local, bem como os regulamentos."
Hans Baars, ,Kees Hintzbergen, Jule Hintzbergen Fundamentos de Segurança da Informação: com base na ISO 27001 e na ISO 27002
Sobre o item 6.1.3 da norma técnica ABNT NBR ISO/IEC 27001:2013: tratamento de riscos de segurança da informação. A alternativa que responde é a alternativa 4. Sim.
Mas de acordo com a ABNT por que a alternativa 4 é a correta?
De acordo com o item 6.1.3 da norma técnica ABNT que é responsável pela segurança da informação e o tratamento de seus riscos, a organização deverá conduzir auditorias internas sobre se o sistema de gestão da segurança da informação está:
- Seguindo os requisitos do sistema de gestão da segurança da informação;
- Efetivamente mantido e bem implementado;
- Seguindo a norma técnica ABNT NBR ISO/IEC 27001:2013;
- Em conformidade com todos os itens anteriores;
Saiba mais sobre as normas técnicas ABNT aqui:https://brainly.com.br/tarefa/26015726
#SPJ2
