Q3 ISO/IEC parte II

A ISO 27001, também conhecida como ​ (a)   27001, é uma norma ​ (b)   de gestão de sistema de segurança da informação (SGSI), que cria um modelo padronizado que permite estabelecer, implementar, operar, ​ (c)   , manter e melhorar os sistemas e processos voltados a ​ (d)   , assim propondo atender às melhores práticas ​ na segurança e proteção dos dados presentes em ​ ​ (e)   .

• Implantação de um ​ (a)   , levando a adoção de boas práticas e a melhoria contínua que permitam manter a integridade de sistemas e dados sensíveis de sua empresa e clientes.

• Permitir operar com maior segurança e ​ (b)   , facilitando assim a busca pela inovação e o crescimento da organização como um todo.

• Contar com uma comprovação ​ (c)   que segue os mais altos padrões do setor de segurança da informação, gerando maior ​ (d)   para a marca e assim abrindo a porta de parceiros e mercados.

A ISO/IEC 27002 tem por foco

A ​ (a)   fornece orientações sobre a implementação de um Sistema de Gestão de Segurança da Informação (​ (b)   ) baseado nos requisitos estabelecidos pela ​ (c)   /​ (d)   27001.

A norma ISO/IEC 27003 é estruturada nos pilares da ___, ___, ___, ___, Operação, Avaliação de desempenho e Melhoria.

​ (a)   e comprometimento são essenciais para um ​ (b)   eficaz. A gerência é definida como uma pessoa ou grupo de pessoas que ​ (c)   do SGSI no mais alto nível, ou seja, a alta gerência tem a ​ (d)   geral pelo SGSI.

A gerência deve garantir que a política de segurança da informação e os objetivos de segurança da informação sejam estabelecidos e sejam compatíveis com a direção estratégica da organização, e garantir que os requisitos da SGSI sejam atendidos.

Este trecho refere-se a qual pilar da ISO/IEC 27003

A _____de segurança da informação descreve a importância estratégica do SGSI para a organização e está disponível como informação documentada, declarando quais são as necessidades de segurança da informação no contexto real da organização.

O objetivo do _________é ajudar a organização a julgar se o resultado pretendido das atividades de segurança da informação, incluindo avaliação e tratamento de riscos, é alcançado conforme planejado, determinando o status de um sistema, um processo ou uma atividade.

Uma boa prática é definir a "​ (a)   de informação" ao planejar o monitoramento. Uma necessidade de informação é geralmente expressa como uma ​ (b)   ou declaração de segurança de informação de alto nível que ajuda a organização a ​ (c)   o desempenho da segurança da informação e a eficácia do ​ (d)   .