Questões de Fundação Carlos Chagas - Tecnologia da Informação - Gestão de segurança da informação - ISO 27001

softwares em desenvolvimento e softwares em produção sejam sempre executados no mesmo sistema, processador, domínio ou diretório.

ambientes de desenvolvimento, teste e produção sejam separados para reduzir os riscos de acessos ou modificações não autorizadas no ambiente de produção.

compiladores, editores e outras ferramentas de desenvolvimento sejam completamente acessíveis aos sistemas operacionais.

usuários tenham um único perfil para sistemas de testes e em produção, para garantir que todos os aspectos desejados sejam testados.

dados sensíveis sejam copiados e utilizados nos ambientes de teste, independente dos controles, para obter maior precisão nos resultados dos testes.

incidentes e evidências de segurança da informação devem ser documentados em um repositório não público, acessível a todos os colaboradores autorizados.

os conhecimentos obtidos da análise e resolução de incidentes de segurança devem ser usados para contornar incidentes sem gravidade e identificar evidências que não são claramente identificadas.

incidentes de segurança devem ser documentados e disponibilizados para todos os colaboradores de TI da instituição, incluindo as evidências relacionadas a estes incidentes.

a organização deve definir e aplicar procedimentos para identificação, coleta, aquisição e preservação das informações, as quais podem servir como evidências.

a responsabilidade na coleta de evidências deve ser atribuída a todos os colaboradores da área de TI, para assegurar respostas rápidas, efetivas e ordenadas aos incidentes de segurança.

Segurança nas operações.

Política de segurança da informação.

Segurança em recursos humanos.

Organização da segurança da informação.

Segurança física e do ambiente.

modificações em pacotes de software devem ser encorajadas e não devem estar limitadas apenas às mudanças necessárias, porém, todas as mudanças devem ser documentadas.

mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas por procedimentos informais de controle de mudanças.

a organização não deve contratar empresas terceirizadas para realizar atividades de desenvolvimento de sistemas de informação.

testes de funcionalidade de segurança devem ser realizados somente quando o sistema estiver pronto.

programas de testes de aceitação e critérios relacionados devem ser estabelecidos para novos sistemas de informação, atualizações e novas versões.

do plano de continuidade de negócios e de suas responsabilidades e papéis, já que todos participam quando é necessário colocar este plano em prática.

do plano estratégico, que estabelece a direção a ser seguida pela organização para melhorar o sistema de gestão da segurança da informação.

do plano operacional, que define as ações e metas traçadas para atingir os objetivos das decisões estratégicas relacionadas à segurança da informação.

de suas responsabilidades no processo de gestão de riscos de segurança da informação, atuando como observadoras das ações dos demais funcionários na identificação de potenciais riscos de segurança da informação.

das implicações da não conformidade com os requisitos do sistema de gestão da segurança da informação.