Questões de Segurança da Informação - Vírus e malwares

Paredes, portões de entrada controlados por cartão e balcões de
recepção com recepcionista são os objetos que devem ser
utilizados para delimitar um perímetro de segurança física.

As instalações de processamento da informação gerenciadas
pela organização devem localizar-se fisicamente separadas
daquelas que são gerenciadas por terceiros.

Qualquer esquema de classificação da informação aborda
riscos de segurança da informação.

Esquemas de rotulagem e tratamento da informação se aplicam
aos ativos de informação em formato físico, ao passo que
apenas o controle de acessos se aplica aos ativos de informação
em formato lógico.

Todo equipamento que contenha mídia de armazenamento de
informação deve ser destruído para garantir que as informações
sensíveis nele armazenadas sejam inacessíveis após seu
descarte ou envio para conserto.

A definição da estratégia de continuidade determina o valor
dos períodos máximos toleráveis de interrupção das atividades
críticas da organização.

A implementação da resposta de GCN compreende a
realização dos testes dos planos de resposta a incidentes, de
continuidade e de comunicação.

A análise de impacto no negócio resulta em melhor
entendimento acerca dos produtos, serviços e(ou) atividades
críticas e recursos de suporte de uma organização.

GCN é uma abordagem alternativa à gestão de riscos de
segurança da informação.

GCN é a fase inicial da implantação da gestão de continuidade
em uma organização.

a análise e a avaliação dos riscos de segurança da informação
que afetam os ativos organizacionais.

a definição dos controles técnicos que mitigam os riscos de
segurança da informação.

uma lista das vulnerabilidades presentes nos ativos de
processos organizacionais.

a definição da equipe de pessoas responsáveis pela operação
do programa de continuidade.

uma lista estruturada e priorizada de ações e tarefas que
apresente a forma como o plano é ativado.

revelar informações sensíveis da organização.

ser aprovado pela direção, bem como publicado e comunicado
para todos que tenham contato com a organização.

conter uma declaração de comprometimento elaborada por
todos aqueles que atuam na organização, inclusive pela
direção.

apresentar uma declaração de aplicabilidade dos controles de
segurança da informação, além de definir como será o processo
de gestão de riscos.

conter o registro dos incidentes de segurança da organização.

Aceitar ou reter um risco durante o seu tratamento equivale a
transferi-lo.

Os riscos residuais são conhecidos antes da comunicação do
risco.

Os riscos são reduzidos ou mitigados sem que ocorra a seleção
de controles.

Qualquer atividade de comunicação do risco de segurança da
informação deve ocorrer apenas após a aceitação do plano de
tratamento do risco pelos gestores da organização.

A definição do contexto da gestão de riscos deve preceder a
identificação dos ativos de valor.