SIMULADO1 - TI Segurança da Informação para CAIXA - 2024

Prévia do material em texto

1) 
TI Segurança da Informação para CAIXA - 2024
https://www.tecconcursos.com.br/s/Q3OzkR
Ordenação: Por Matéria e Assunto (data)
www.tecconcursos.com.br/questoes/1700357
CAE CFC - CNAI (CFC)/CFC/BCB/2021
Contabilidade de Instituições Financeiras e Atuariais - Resolução CMN nº 4.893/2021 -
Política de Segurança Cibernética
De acordo com as normas do Banco Central do Brasil (BCB), na adoção de uma política de segurança
cibernética, devem ser consideradas algumas diretrizes. Em relação a essas diretrizes, analise os itens
abaixo como verdadeiros (V) ou falsos (F) e, em seguida, assinale a opção CORRETA.
I. Considera-se diretriz a elaboração de cenários de incidentes considerados nos testes de
continuidade de negócios.
II. Considera-se diretriz a definição de procedimentos e de controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que
manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades
operacionais da instituição.
III. Considera-se diretriz a classificação dos dados e das informações quanto à relevância.
IV. Considera-se diretriz o uso da definição dos parâmetros determinados pelo BCB na avaliação da
relevância dos incidentes.
https://www.tecconcursos.com.br/s/Q3OzkR
https://www.tecconcursos.com.br/questoes/1700357
2) 
A sequência CORRETA é:
a) F,V,V,F.
b) V,F,V,F.
c) F,V,V,V.
d) V,V,V,F.
www.tecconcursos.com.br/questoes/1854521
CESGRANRIO - TBN (CEF)/CEF/Tecnologia da Informação/2021
Contabilidade de Instituições Financeiras e Atuariais - Resolução CMN nº 4.893/2021 -
Política de Segurança Cibernética
A Resolução CMN no 4.893, de 26 de fevereiro de 2021, dispõe sobre a política de segurança
cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de
dados e de computação em nuvem, a serem observados pelas instituições autorizadas a funcionar pelo
Banco Central do Brasil.
 
Essa Resolução determina que a política de segurança cibernética e o plano de ação e de resposta a
incidentes devem ser, no mínimo, documentados e revisados
a) trimestralmente
b) semestralmente
c) anualmente
d) bienalmente
e) trienalmente
https://www.tecconcursos.com.br/questoes/1854521
3) 
www.tecconcursos.com.br/questoes/1700362
CAE CFC - CNAI (CFC)/CFC/BCB/2021
Contabilidade de Instituições Financeiras e Atuariais - Resolução CMN nº 4.893/2021 -
Política de Segurança Cibernética
O Banco XX contratou os serviços de processamento e armazenamento de dados e de computação
em nuvem com a empresa DEF, que é uma empresa internacional e mantém suas operações no exterior.
De acordo com as normas emitidas pelo Banco Central do Brasil (BCB), analise os itens abaixocomo
verdadeiros (V) ou falsos (F) e, em seguida, assinale a opção CORRETA.
I. É necessária a existência de convênio para troca de informações entre o BCB e as autoridades
supervisoras dos países onde os serviços poderão ser prestados.
II. A instituição contratante deve assegurar que a prestação dos serviços acordados não cause
prejuízos ao seu regular funcionamento nem embaraço à atuação do BCB.
III. A instituição contratante deve definir, previamente à contratação, os países e as regiões em
cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados
e gerenciados.
IV. A instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de
impossibilidade de manutenção ou extinção do contrato de prestação de serviços.
 
A sequência CORRETA é:
a) F,V,V,V.
b) V,F,V,F.
c) F,V,F,V.
d) V,F,V,V.
https://www.tecconcursos.com.br/questoes/1700362
4) 
www.tecconcursos.com.br/questoes/1460225
CAE CFC - CNAI (CFC)/CFC/BCB/2019
Contabilidade de Instituições Financeiras e Atuariais - Resolução CMN nº 4.893/2021 -
Política de Segurança Cibernética
A Resolução CMN nº 4658, de 26/4/2018, estabeleceu normas sobre política de segurança cibernética
e requisitos para a contratação de serviços de processamento e armazenamento de dados e de
computação em nuvem que as instituições financeiras e demais instituições autorizadas a funcionar pelo
BCB devem observar. Para tanto dispõe, entre outras exigências, que a aprovação da política de
segurança cibernética deve ser realizada até 6 de maio de 2019, devendo contemplar alguns princípios.
Sobre esse assunto, identifique os princípios abaixo e, em seguida, assinale a opção CORRETA.
 
I. Os objetivos de segurança cibernética da instituição.
 
II. Os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a
incidentes e atender aos demais objetivos de segurança cibernética.
 
III. Os controles específicos, incluindo os voltados para a rastreabilidade da informação, que
busquem garantir a segurança das informações sensíveis.
 
IV. O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes
relevantes para as atividades da instituição.
 
Estão CERTOS os itens:
a) I, II, III e IV.
https://www.tecconcursos.com.br/questoes/1460225
5) 
b) I, II e III, apenas.
c) I, III e IV, apenas.
d) II, III e IV, apenas.
www.tecconcursos.com.br/questoes/2780872
CESGRANRIO - TPP (IPEA)/IPEA/Infraestrutura de Tecnologia da Informação/2024
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Organizar uma forma eficaz de resposta a incidentes de segurança de computadores envolve várias
decisões e ações importantes. Nesse sentido, no Guia para Tratamento de Incidentes de Segurança de
Computadores, publicado no NIST SP 800-61, é definido um ciclo de vida de resposta a incidentes. Uma
das fases desse ciclo de vida é a encarregada por determinar se um incidente aconteceu, a partir da
análise de precursores e indicadores e da procura de informações correlacionadas.
 
Trata-se da fase de
a) contenção
b) erradicação
c) preparação
d) recuperação
e) detecção e análise
www.tecconcursos.com.br/questoes/2780486
CESGRANRIO - TPP (IPEA)/IPEA/Desenvolvimento de Sistema/2024
https://www.tecconcursos.com.br/questoes/2780872
https://www.tecconcursos.com.br/questoes/2780486
6) 
7) 
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Uma empresa de desenvolvimento de softwares adota, em seus projetos de sistemas, princípios de
segurança para reduzir os riscos relacionados à segurança e para aumentar a resistência a ataques. Um
desses princípios, visa manter o design o mais simples e o menor possível e, como consequência, tornar
mais fácil de ser revisada e mais difícil de conter erros a parte desse sistema que depende de segurança.
 
Esse é o princípio de
a) design aberto
b) privilégio mínimo
c) mediação completa
d) economia de mecanismo
e) separação de privilégios
www.tecconcursos.com.br/questoes/2468409
FUNDATEC - Ana Sist (BRDE)/BRDE/Desenvolvedor de Sistemas/2023
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Sobre os conceitos e mecanismos que norteiam a segurança de sistemas, a capacidade de provar que
um usuário ou um aplicativo é realmente quem essa pessoa ou o que esse aplicativo afirma ser é
denominada de:
a) Comprovação.
b) Autenticação.
c) Autorização.
https://www.tecconcursos.com.br/questoes/2468409
8) 
d) Auditoria.
e) Permissão.
www.tecconcursos.com.br/questoes/2695481
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Na NBR ISO 29100:2020, é fornecida uma estrutura de alto nível para a proteção de dados pessoais
no contexto dos sistemas de tecnologia da informação e de comunicações (TIC). Para assegurar a
privacidade de dados pessoais, há um processo pelo qual esses dados são irreversivelmente alterados, de
forma que um titular de dados pessoais não mais possa ser identificado, direta ou indiretamente, seja
por um controlador de dados pessoaisou em colaboração com qualquer outra parte. Esse processo é
definido nessa norma como
a) cifração
b) deformação
c) deterioração
d) higienização
e) anonimização
www.tecconcursos.com.br/questoes/2695430
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
https://www.tecconcursos.com.br/questoes/2695481
https://www.tecconcursos.com.br/questoes/2695430
9) 
10) 
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Para proteger as transações eletrônicas contra fraudes, é importante implantar serviços de segurança
da informação adequados. É possível, por exemplo, haver proteção contra um tipo de fraude que
consiste na negação falsa de envolvimento em uma associação, mais especificamente, uma associação
de comunicação que transfere dados. O serviço de segurança que assegura a proteção contra esse tipo
de fraude é a
a) integridade
b) confidencialidade
c) disponibilidade
d) irretroatividade
e) irretratabilidade
www.tecconcursos.com.br/questoes/2695320
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Processos de
Negócios/2023
TI - Redes de Computadores - Internet das Coisas (IoT)
Atualmente é comum a integração de dispositivos físicos, sensores, software e outras tecnologias
para criar uma rede de objetos conectados que podem trocar dados e informações entre si, permitindo a
coleta, análise e tomada de decisões baseadas em dados. Tal integração está associada ao conceito de
a) blockchain
b) inteligência artificial
c) internet das coisas
d) processamento paralelo
https://www.tecconcursos.com.br/questoes/2695320
11) 
e) realidade aumentada
www.tecconcursos.com.br/questoes/1838822
FGV - Ana TI (BANESTES)/BANESTES/Segurança da Informação/2021
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Para acessar a intranet corporativa, um colaborador informa seu CPF, senha pessoal e um código
enviado para o seu celular cadastrado.
 
O mecanismo de reforço implementado nessa intranet para confirmar a identidade do usuário contra
acessos indevidos é a autenticação:
a) biométrica;
b) Kerberos;
c) Oauth2;
d) 2FA;
e) Openid.
www.tecconcursos.com.br/questoes/1838831
FGV - Ana TI (BANESTES)/BANESTES/Suporte e Infraestrutura/2021
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
https://www.tecconcursos.com.br/questoes/1838822
https://www.tecconcursos.com.br/questoes/1838831
12) A avaliação dos funcionários de uma empresa é realizada por meio de um sistema hospedado em
sua infraestrutura de servidores, gerenciada por uma equipe de especialistas. Ao emitir o seguinte
relatório de avaliação, o gerente observou que João havia melhorado muito seu desempenho no último
semestre. Ao ser questionado, o avaliador Luiz negou ter feito tal avaliação.
AvaliadoAvaliador Avaliações
A1S1 A1S2 A2S1
João Luiz 5 4 10
Maria Luiz 10 9 10
Antônio Luiz 9 9 10
Ao investigar o ocorrido, a equipe de segurança detectou a modificação deliberada da avaliação no banco
de dados do sistema.
 
O princípio de segurança da informação violado foi o da:
a) confidencialidade;
b) integridade;
c) disponibilidade;
d) autenticidade;
e) exclusividade.
www.tecconcursos.com.br/questoes/690131
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
https://www.tecconcursos.com.br/questoes/690131
13) 
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Um dos grandes desafios das empresas é evitar o vazamento de dados. Nesse sentido, surgiram
softwares e sistemas de prevenção de vazamento de dados, Data Loss Prevention (DLP). Considerando a
necessidade de controle das informações da empresa e as soluções de DLP presentes no mercado,
assinale a alternativa correta.
a) DLP tem como principal função impedir o vazamento de grandes volumes de dados.
b) Para que DLP seja implementada, é necessário que a informação crítica da organização esteja
classificada.
c) Para a implementação de DLP, é necessário que a organização tenha um firewall de nova geração
com suporte a virtualização.
d) Soluções de DLP atuais somente verificam o protocolo SMTP.
e) O inconveniente dos sistemas DLP é que cada usuário precisa gerar um hash dos seus arquivos e
registrá-los no sistema.
www.tecconcursos.com.br/questoes/749393
FADESP - Tec Info (BANPARÁ)/BANPARÁ/Desenvolvimento de Sistema e Acompanhamento
de Projetos, Suporte e Banco de Dados/2018
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
https://www.tecconcursos.com.br/questoes/749393
14) 
15) 
A segurança da informação é a proteção da informação em relação a vários tipos de ameaças, de
modo a garantir a continuidade do negócio, minimizar o risco para o negócio, maximizar o retorno sobre
o investimento e as oportunidades de negócio (NBR ISO/IEC 27002:2005). Com base nesta definição, os
atributos básicos da segurança da informação são
a) interface, confidencialidade e direcionamento.
b) integridade, comunicabilidade e direcionamento.
c) integridade, comunicabilidade e disponibilidade.
d) integridade, confidencialidade e disponibilidade.
e) interface, comunicabilidade e direcionamento.
www.tecconcursos.com.br/questoes/619545
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2018
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Os sistemas computacionais estão sujeitos a ataques tanto passivos quanto ativos.
Ataques passivos, tais como o monitoramento ou a análise de tráfego, ameaçam principalmente os
requisitos de
a) confidencialidade
b) irretratabilidade
c) autenticidade
d) disponibilidade
https://www.tecconcursos.com.br/questoes/619545
16) 
17) 
e) integridade 
www.tecconcursos.com.br/questoes/374126
CESGRANRIO - Tec (UNIRIO)/UNIRIO/Tecnologia da Informação/2016
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Várias técnicas de ataque podem ser utilizadas para tentar violar a política de segurança de um
sistema. O objetivo do ataque passivo é tentar
a) fingir ser uma entidade diferente da que realmente é.
b) retransmitir mensagens capturadas para produzir um efeito não autorizado.
c) adulterar mensagens legítimas para produzir um efeito não autorizado.
d) impedir o uso ou gerenciamento normal das instalações de comunicação.
e) descobrir informações do sistema sem afetar seus recursos.
www.tecconcursos.com.br/questoes/401486
CESGRANRIO - Sup Pesq (IBGE)/IBGE/Gestão/2016
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Para um gestor público, diante de um contexto de garantia de acesso à informação, é relevante
diferenciar métricas de eficiência de métricas de eficácia da Tecnologia da Informação (TI) na prestação
de serviços públicos em novos formatos de oferta e acessibilidade.
 
A seguinte medida é uma métrica de eficácia da plataforma de TI para acesso à informação:
https://www.tecconcursos.com.br/questoes/374126
https://www.tecconcursos.com.br/questoes/401486
18) 
a) os custos envolvidos no consumo de recursos diretos e indiretos que estão implicados na
disponibilização da TI.
b) o tempo de resposta medido pelos minutos exigidos para responder às demandas dos usuários.
c) a velocidade de transação medida pelo tempo que o sistema leva para realizar uma transação.
d) a usabilidade mensurada pelo número de cliques necessários para que um usuário encontre a
informação desejada.
e) a taxa de rendimento monitorada pela quantidade de informação que pode deslocar-se por meio
do sistema a qualquer momento.
www.tecconcursos.com.br/questoes/374127
CESGRANRIO - Tec (UNIRIO)/UNIRIO/Tecnologia da Informação/2016
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Os serviços de segurança são serviços de processamento ou comunicação,fornecidos por um
sistema, para prover proteção aos recursos do sistema com base em uma política de segurança.
Dentre esses serviços, o controle de acesso visa a
a) impedir o uso não autorizado de recursos, o que requer prévia autenticação de entidades ou
indivíduos.
b) impedir o uso não autorizado de recursos, o que não requer prévia autenticação de entidades ou
indivíduos.
https://www.tecconcursos.com.br/questoes/374127
19) 
c) garantir que os dados recebidos não foram adulterados, o que requer prévia autenticação de
entidades ou indivíduos.
d) garantir que os dados recebidos não foram adulterados, o que não requer prévia autenticação de
entidades ou indivíduos.
e) garantir apenas a autenticação de entidades ou indivíduos.
www.tecconcursos.com.br/questoes/2324416
CESGRANRIO - Tecno (CEFET RJ)/CEFET RJ/2014
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Um aluno entrou no sistema NOTAS e:
 
1. Fez o login e foi aceito pelo sistema.
 
2. Tentou lançar notas, e o sistema negou o acesso.
 
3. Tentou ver suas notas e conseguiu a listagem que pretendia.
 
Nessas três ações, o aluno usou o sistema, sendo intermediado por um sistema de controle de acesso
que realizou em cada passo um procedimento específico.
 
Como são chamados, respectivamente, esses procedimentos?
a) Auditoria, autorização e autenticação
b) Autenticação, auditoria e autorização
c) Autenticação, autorização e autorização
d) Autorização, auditoria e autenticação
https://www.tecconcursos.com.br/questoes/2324416
20) 
21) 
e) Autorização, autenticação e autenticação
www.tecconcursos.com.br/questoes/2324434
CESGRANRIO - Tecno (CEFET RJ)/CEFET RJ/2014
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
O link de acesso à internet de uma instituição encontra-se muito instável porque o seu provedor não
cumpre o SLA.
 
Do ponto de vista de segurança e análise de risco, isso deve ser considerado como evidência de
a) BYOD
b) ameaça
c) resiliência
d) negação de serviço
e) vulnerabilidade
www.tecconcursos.com.br/questoes/277883
CESGRANRIO - Sup Pesq (IBGE)/IBGE/Tecnologia da Informação e Comunicação /2014
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Um profissional de TI, diante da divulgação de inúmeras brechas de segurança da informação que
existem, resolve buscar as melhores práticas de governança para o seu ambiente.
Dessa forma, para garantir a segurança da informação, ele deve buscar atender principalmente aos
https://www.tecconcursos.com.br/questoes/2324434
https://www.tecconcursos.com.br/questoes/277883
22) 
seguintes aspectos:
a) veracidade, validade e segregação de funções
b) reputação, confiabilidade e redução de riscos
c) classificação dos dados, criptografia e conformidade
d) confidencialidade, integridade e disponibilidade
e) controle, desempenho e gerenciamento
www.tecconcursos.com.br/questoes/2324449
CESGRANRIO - Tecno (CEFET RJ)/CEFET RJ/2014
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Em uma cidade, há dispositivos de alarme que visam a proteger moradores de possíveis
desabamentos em caso de chuvas fortes, em áreas consideradas de risco. Há um limite de precipitação
de chuva além do qual a Defesa Civil dessa cidade envia uma mensagem para o responsável pelo
acionamento do alarme.
 
Considerando o contexto da Segurança da Informação, o fato de a Defesa Civil expedir a mensagem,
durante forte tempestade, e essa mensagem não chegar ao seu destino para que o alarme seja
acionado, caracterizaria uma quebra do princípio de
a) autenticidade
b) disponibilidade
c) confidencialidade
d) integridade
e) irretratabilidade
https://www.tecconcursos.com.br/questoes/2324449
23) 
24) 
www.tecconcursos.com.br/questoes/2309821
CESGRANRIO - Ana (PQS)/PQS/Sistemas/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Vulnerabilidades, ameaças e contramedidas são palavras importantes e com conotação específica na
discussão sobre segurança da informação. Existem muitas ações, efeitos, técnicas e outros elementos ou
fatores que as exemplificam.
 
São exemplos de vulnerabilidades, ameaças e contramedidas, respectivamente:
a) engenharia social, técnicas de estenografia e criptografia de chave pública
b) radiação eletromagnética de monitores, criptografia de chave pública e técnicas de estenografia
c) radiação eletromagnética de monitores, engenharia social e criptografia de chave pública
d) criptografia de chave pública, técnicas de estenografia e engenharia social
e) técnica de estenografia, criptografia de chave pública e radiação eletromagnética de monitores
www.tecconcursos.com.br/questoes/352579
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de
Sistemas/Infraestrutura/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Um funcionário da seção responsável pela segurança da informação de uma pequena empresa
recebeu uma instrução, baseada nas normas pertinentes, denominada Segurança para Correio Eletrônico,
para ser implementada. O texto da instrução alertava sobre os vários riscos de segurança existentes na
https://www.tecconcursos.com.br/questoes/2309821
https://www.tecconcursos.com.br/questoes/352579
25) 
rede da empresa e, como prioridade máxima, a vulnerabilidade das mensagens a acesso não autorizado.
A instrução também sugeria políticas para minimizar ou evitar os possíveis efeitos negativos de
ocorrências, como interceptação de mensagens e consequente acesso a dados sensíveis e confidenciais
da empresa. Como consequência dessas políticas, entre outras providências, a instrução sugeria a
adoção de procedimento de proteção à confidencialidade e à integridade das mensagens eletrônicas.
Nesse contexto de riscos e prioridade, um exemplo de técnica possível de ser adotada para atender à
instrução é a técnica de
a) estenografia
b) criptografia
c) phishing
d) tempest
e) e-private
www.tecconcursos.com.br/questoes/292381
CESGRANRIO - AGC (EPE)/EPE/Tecnologia da Informação/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
O princípio da segurança da informação que limita o acesso à informação apenas a pessoas
devidamente autorizadas é o princípio da
a) conformidade
b) confidencialidade
c) disponibilidade
d) integridade
e) complexidade
https://www.tecconcursos.com.br/questoes/292381
26) 
27) 
www.tecconcursos.com.br/questoes/2294472
CESGRANRIO - PS I (CHESF)/CHESF/Analista de Sistemas/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Um auditor de segurança de um sistema de comunicações percebeu que o conteúdo de determinada
mensagem fora alterado e, durante sua investigação, concluiu que a alteração se devia a uma falha no
sincronismo do sistema de transmissão.
 
No contexto da segurança da informação, esse caso envolve o princípio da
a) confidencialidade
b) disponibilidade
c) integridade
d) autenticidade
e) privacidade
www.tecconcursos.com.br/questoes/2309817
CESGRANRIO - Ana (PQS)/PQS/Sistemas/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Entre os aspectos que devem ser considerados no contexto da segurança da informação, tem-se a
irretratabilidade, que pode ser definida como característica da informação que
a) tem conteúdo que só pode ser lido e compreendido por agentes autorizados pelo remetente.
https://www.tecconcursos.com.br/questoes/2294472
https://www.tecconcursos.com.br/questoes/2309817
28) 
b) é protegida de acordo com o grau de sigilo do seu conteúdo, visando à limitação do seu acesso
apenas a pessoas autorizadas.
c) possui valor dentro de um processo de comunicação, onde os ativos estão em conformidade com
a legislação vigente.
d) possui grau elevado de confidencialidade por ser um ativo indispensável para a operacionalizaçãode um negócio.
e) possui uma identificação do seu remetente, que o autentica como o autor dessa informação.
www.tecconcursos.com.br/questoes/222235
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Devido à limitação de recursos, é necessário priorizar e identificar as informações que realmente
requerem proteção.
As informações que, se expostas, violam a privacidade de indivíduos, reduzem a vantagem competitiva
da empresa ou causam danos à mesma são classificadas como
a) confidenciais
b) públicas
c) distintas
d) indistintas
e) padronizadas
www.tecconcursos.com.br/questoes/319160
IDECAN - Ana TI (BANESTES)/BANESTES/Suporte e Infraestrutura/2012
https://www.tecconcursos.com.br/questoes/222235
https://www.tecconcursos.com.br/questoes/319160
29) 
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
A segurança da informação pode ser definida como um processo de proteger a informação do mau
uso tanto acidental como intencional, por pessoas internas ou externas a organização, incluindo
empregados, consultores e hackers.
 
(Moraes, 2010)
 
Relacione as colunas corretamente sobre termos utilizados em segurança.
 
1. Ativo.
2. Controle.
3. Segurança da informação.
4. Política.
 
( ) Intenções e diretrizes globais formalmente expressas pela direção.
( ) Forma de gerenciar o risco, incluindo políticas, procedimentos etc.
( ) Qualquer coisa que tenha valor para a organização.
( ) Preservação da confidencialidade, da integridade e da disponibilidade da informação.
 
A sequência está correta em
a) 1, 3, 4, 2
b) 2, 4, 1, 3
c) 4, 2, 3, 1
d) 3, 1, 2, 4
e) 4, 2, 1, 3
30) 
31) 
www.tecconcursos.com.br/questoes/224879
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Telecomunicações/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
No que diz respeito à segurança da informação, dois conceitos estão associados à capacidade de um
sistema: permitir que alguns usuários acessem determinadas informações ao mesmo tempo que impede
que outros não autorizados a vejam e garantir que um usuário seja, de fato, quem alega ser.
Esses conceitos são conhecidos, respectivamente, como
a) privacidade e autenticação
b) privacidade e certificação
c) integridade e autenticação
d) confidencialidade e certificação
e) confidencialidade e autenticação
www.tecconcursos.com.br/questoes/2332049
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Desenvolvimento
de Aplicações/2012
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Segundo a ISO/IEC 27002:2005, o objetivo da classificação da informação é assegurar que os ativos
da informação recebam um nível adequado de proteção. A informação deve ser classificada para indicar
a importância, a prioridade e o nível de proteção.
 
https://www.tecconcursos.com.br/questoes/224879
https://www.tecconcursos.com.br/questoes/2332049
32) 
A nova lei sobre classificação de informações, aprovada no Congresso em outubro de 2011, estabelece
que nenhum documento poderá permanecer mais de 50 anos em sigilo e que o documento classificado
como confidencial deixará de existir.
 
Essa lei altera os aspectos de classificação relacionados a critérios de
a) Confidencialidade
b) Integridade
c) Identidade
d) Autenticidade
e) Prazos de Retenção
www.tecconcursos.com.br/questoes/1370980
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2011
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Considere as afirmativas a seguir sobre segurança da informação.
 
I - Os softwares de segurança como firewalls e antivírus são o principal patrimônio de uma empresa,
e os investimentos devem ser predominantes nesses produtos.
 
II - O plano de segurança da informação tem que contemplar os aspectos legais da informação, tais
como propriedade intelectual e política de privacidade, entre outros.
 
III - O plano de segurança da informação é um processo que depende da visão estratégica do
negócio e visa a proteger a rede interna de invasões indesejadas.
https://www.tecconcursos.com.br/questoes/1370980
33) 
 
É correto APENAS o que se afirma em
a) I
b) II
c) III
d) I e II
e) II e III
www.tecconcursos.com.br/questoes/1362996
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2011
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Paulo autorizou uma despesa em seu cartão de crédito mediante a utilização de senha pessoal. Ao
receber a cobrança, procurou a administradora do cartão e negou a despesa. A administradora manteve
a cobrança, provando a irretratabilidade da ação realizada.
 
Esse procedimento só foi possível porque, no contexto da segurança da informação e, em relação à
transação, a administradora provou pelo menos sua
a) disponibilidade e confiabilidade
b) disponibilidade e integridade
https://www.tecconcursos.com.br/questoes/1362996
34) 
35) 
c) portabilidade e autenticidade
d) autenticidade e integridade
e) privacidade e confiabilidade
www.tecconcursos.com.br/questoes/1616833
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
As modernas tecnologias proporcionam enorme agilidade às empresas, mas também trazem novos
riscos para a segurança da informação. Essas tecnologias são as que se referem a
a) sistemas operacionais.
b) equipamentos de informática.
c) especifícações para segurança financeira.
d) transporte, armazenamento e manipulação de dados.
e) velocidade de acesso à informação eletrônica.
www.tecconcursos.com.br/questoes/2674141
CESGRANRIO - ASis (Eletrobras)/Eletrobras/Processos de Negócio/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Determinado órgão público sofre com vazamento de informações sigilosas para imprensa. Para evitar
esse tipo de incidente, o órgão discute uma estratégia de segurança da informação, que, entre outras
https://www.tecconcursos.com.br/questoes/1616833
https://www.tecconcursos.com.br/questoes/2674141
36) 
ações derivadas, deve
a) atribuir a segurança à área de TI (Tecnologia da Informação) exclusivamente.
b) tratar a segurança como um processo e não como um projeto.
c) tratar as atividades como despesa e não como investimento.
d) posicionar, hierarquicamente, a equipe de segurança abaixo da diretoria de TI.
e) elaborar planos de ação orientados à reatividade.
www.tecconcursos.com.br/questoes/1613167
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Administração e Controle/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
As informações constituem o objeto de maior valor para as empresas. O progresso da informática e
das redes de comunicação apresenta um novo cenário, no qual os objetos do mundo real estão
representados por bits e bytes, que ocupam lugar em diversos meios, e possuem formas diferentes das
originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um
valor maior.
 
Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde
trafegam e são armazenadas as informações, trazendo, como consequência, uma maior preocupação
com o nível de segurança a ser implantado em seus sistemas computacionais, a fim de garantir a essas
informações alguns princípios básicos fundamentais.
 
O princípio da confidencialidade da informação tem como objetivo
a) estruturar os sistemas administrativos da empresa.
b) fornecer opções de preservação das decisões tecnológicas.
https://www.tecconcursos.com.br/questoes/1613167
37) 
c) garantir que apenas a pessoa correta tenha acesso à informação.
d) proteger a estrutura física que permite o acesso à informação.
e) prolongar o ciclo de vida da informaçãoao máximo possível.
www.tecconcursos.com.br/questoes/1613165
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Administração e Controle/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
As informações constituem o objeto de maior valor para as empresas. O progresso da informática e
das redes de comunicação apresenta um novo cenário, no qual os objetos do mundo real estão
representados por bits e bytes, que ocupam lugar em diversos meios, e possuem formas diferentes das
originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um
valor maior.
 
Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde
trafegam e são armazenadas as informações, trazendo, como consequência, uma maior preocupação
com o nível de segurança a ser implantado em seus sistemas computacionais, a fim de garantir a essas
informações alguns princípios básicos fundamentais.
 
Tentar assegurar que apenas pessoas ou sistemas autorizados possam fazer alterações na forma e no
conteúdo de uma informação constitui o princípio da
a) acessibilidade.
b) integridade.
c) permutação.
d) portabilidade.
https://www.tecconcursos.com.br/questoes/1613165
38) 
e) organização.
www.tecconcursos.com.br/questoes/1613164
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Administração e Controle/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
As informações constituem o objeto de maior valor para as empresas. O progresso da informática e
das redes de comunicação apresenta um novo cenário, no qual os objetos do mundo real estão
representados por bits e bytes, que ocupam lugar em diversos meios, e possuem formas diferentes das
originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um
valor maior.
 
Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde
trafegam e são armazenadas as informações, trazendo, como consequência, uma maior preocupação
com o nível de segurança a ser implantado em seus sistemas computacionais, a fim de garantir a essas
informações alguns princípios básicos fundamentais.
 
A disciplina de segurança da informação nas empresas constitui na(o)
a) distribuição de tarefas por profissionais especializados e capacitados para chefiar.
b) modernização e manutenção dos computadores dos usuários da rede interna administrativa.
c) uso correto de programas de combate a vírus de Internet trazidos por acesso a sites não
autorizados.
d) comando forte sobre profissionais da área de segurança e operação produtiva.
e) conjunto de controles e processos que visam a preservar os dados que trafegam ou são
armazenados em qualquer meio.
https://www.tecconcursos.com.br/questoes/1613164
39) 
www.tecconcursos.com.br/questoes/1613170
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Administração e Controle/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
As informações constituem o objeto de maior valor para as empresas. O progresso da informática e
das redes de comunicação apresenta um novo cenário, no qual os objetos do mundo real estão
representados por bits e bytes, que ocupam lugar em diversos meios, e possuem formas diferentes das
originais, sem deixar de ter o mesmo valor que os objetos reais e, em muitos casos, chegando a ter um
valor maior.
 
Quanto mais interconectada for uma empresa, maior será a complexidade dos sistemas por onde
trafegam e são armazenadas as informações, trazendo, como consequência, uma maior preocupação
com o nível de segurança a ser implantado em seus sistemas computacionais, a fim de garantir a essas
informações alguns princípios básicos fundamentais.
 
Grau de sigilo é uma graduação atribuída a um tipo de informação, com base no(a)
a) grupo de usuários que possuem permissões de acesso à informação.
b) número de ameaças que possam corromper, acessar de forma indevida, eliminar ou até mesmo
furtar as informações.
c) valor e no impacto resultante de disponibilidade da informação para consulta.
d) capacidade de processamento e na quantidade de requisições que a informação sofre.
e) quantidade de usuários que necessitam recuperar a informação a partir de sua base original.
www.tecconcursos.com.br/questoes/2674138
CESGRANRIO - ASis (Eletrobras)/Eletrobras/Processos de Negócio/2010
https://www.tecconcursos.com.br/questoes/1613170
https://www.tecconcursos.com.br/questoes/2674138
40) 
41) 
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Uma empresa de porte deseja orientar seus funcionários em relação à segurança da informação.
Com base nessa situação, analise as responsabilidades que serão colocadas aos funcionários.
 
I - Manter a confidencialidade das senhas.
 
II - Utilizar os recursos da organização apenas para os propósitos aprovados pela gestão.
 
III - Reportar à gestão quaisquer eventos ou incidentes de segurança.
 
É correto o recomendado em
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
e) I, II e III.
www.tecconcursos.com.br/questoes/1390133
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
A tendência da computação distribuída aumenta a eficácia da implementação de um controle de
acesso centralizado.
 
https://www.tecconcursos.com.br/questoes/1390133
42) 
PORQUE
 
A Segurança da Informação proporcionada por meios técnicos é limitada.
 
Analisando as afirmações acima, conclui-se que
a) as duas afirmações são verdadeiras e a segunda justifica a primeira.
b) as duas afirmações são verdadeiras e a segunda não justifica a primeira.
c) a primeira afirmação é verdadeira e a segunda é falsa.
d) a primeira afirmação é falsa e a segunda é verdadeira.
e) as duas afirmações são falsas.
www.tecconcursos.com.br/questoes/27596
ESAF - Ana (CVM)/CVM/Tecnologia da Informação/Infraestrutura e Segurança da
Informação/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
São aspectos de proteção da Segurança da Informação:
a) interação de comandos; disponibilidade de instruções; privacidade ou confidencialidade.
b) autorização; designação; impedimento de restore.
c) integridade de hardware; autorização de recall; privacidade ou compromisso.
d) autocodificação; autenticação; autorização de replay.
https://www.tecconcursos.com.br/questoes/27596
43) 
e) autorização; autenticação; impedimento de replay.
www.tecconcursos.com.br/questoes/2685546
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Desenvolvimento de Aplicações/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Durante uma reunião de projeto, um analista levantou novos requisitos para um sistema de vendas
pela Web, que estava em produção, apresentados a seguir.
 
• As senhas dos usuários do site devem ser armazenadas criptografadas no banco de dados e, caso
haja esquecimento da senha, o usuário deve solicitar o envio da mesma, descriptografada, para o
seu e-mail, após confirmar informações pessoais.
 
• O servidor IIS (versão 6.0), no qual a aplicação está instalada, está ficando sem memória em
função do grande número de acessos a um determinado aplicativo, afetando outros aplicativos.
 
• Os catálogos de produtos são feitos por uma empresa de design que envia, por e-mail, para o
administrador do sistema, arquivos contendo fotos e descrições dos produtos que estão à venda no
site, mas o nível de segurança desse processo deve ser aumentado por meio da utilização de um
mecanismo que permita garantir que os arquivos recebidos pelo administrador sejam mesmo criados
pela empresa de design.
 
O analista propôs as iniciativas a seguir, atendendo a mesma ordem dos requisitos.
 
I - Utilizar uma função HASH para criptografar as senhas antes de salvá-las no banco de dados,
sendoque, para recuperar a senha, será utilizado um algoritmo RSA que a descriptografe antes de
ela ser enviada para o usuário.
https://www.tecconcursos.com.br/questoes/2685546
44) 
 
II - Definir um número máximo de solicitações de kernel para o aplicativo, por meio do Gerenciador
do IIS, de forma a impedir que um grande número de solicitações seja colocado em fila e
sobrecarregue o servidor.
 
III - Deve ser utilizado um mecanismo de assinatura digital no qual a empresa de design assina
digitalmente os arquivos gerados, utilizando uma chave privada, cabendo ao administrador do
sistema, por meio de uma chave pública, verificar a autenticidade da assinatura.
 
Está(ão) correta(s) a(s) iniciativa(s)
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) II e III, apenas.
e) I, II e III.
www.tecconcursos.com.br/questoes/1549355
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Considere um sistema de comunicações entre dois usuários que utilizam técnicas criptográficas
avançadas para proteger suas mensagens. Semanalmente, esses usuários auditam o sistema. Em
determinada ocasião, eles constataram que o texto de determinada mensagem tinha sido alterado de
https://www.tecconcursos.com.br/questoes/1549355
45) 
alguma forma durante o processo de cifração, transmissão e decifração. Nesse caso, houve um
comprometimento da
a) confidencialidade do texto.
b) escalabilidade do algoritmo utilizado.
c) integridade da mensagem.
d) autenticidade do remetente.
e) autenticidade do destinatário.
www.tecconcursos.com.br/questoes/27602
ESAF - Ana (CVM)/CVM/Tecnologia da Informação/Infraestrutura e Segurança da
Informação/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
São propriedades da comunicação segura:
a) comodidade, autenticação do ponto final, integridade de mensagem e qualidade operacional.
b) confidencialidade, autenticação do ponto inicial, integridade de usuário e segurança operacional.
c) compatibilidade, autenticação do ponto final, integridade de mensagem e qualidade da criptografia.
d) confidencialidade, autenticação do ponto final, integridade de mensagem e segurança operacional.
e) confiabilidade, autenticação do ponto de acesso, conteúdo de mensagem e segurança estratégica.
www.tecconcursos.com.br/questoes/1616837
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2010
https://www.tecconcursos.com.br/questoes/27602
https://www.tecconcursos.com.br/questoes/1616837
46) 
47) 
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
A informação, que é crítica para as atividades da empresa, cuja integridade deve ser preservada a
qualquer custo e cujo acesso deve ser restrito a um número bastante reduzido de pessoas, deve ser
classificada, segundo os níveis de prioridade, como
a) abstrata.
b) confidencial.
c) interna.
d) pública.
e) secreta.
www.tecconcursos.com.br/questoes/1616838
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2010
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
As medidas de segurança são um conjunto de práticas que, quando integradas, constituem uma
solução global e eficaz da segurança da informação. Entre as principais medidas, NÃO é correto incluir
o(a)
a) custo da tecnologia.
b) análise de riscos.
c) diretiva de segurança.
d) especificação de segurança.
e) administração de segurança.
https://www.tecconcursos.com.br/questoes/1616838
48) 
49) 
www.tecconcursos.com.br/questoes/2694332
CESGRANRIO - Prof Jun (BR)/BR/Análise de Sistemas/Infraestrutura/2008
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Muitas empresas cometem erros ao lidar com as questões da segurança da informação. Para que o
negócio não seja impactado negativamente com esse aspecto, é importante
a) posicionar a equipe de segurança da informação abaixo da diretoria de TI.
b) adotar ferramentas pontuais como medida paliativa de segurança.
c) elaborar ações de segurança que priorizem a reatividade.
d) eleger a área de TI como responsável pela segurança da informação corporativa.
e) investir em segurança e tratá-la como um processo contínuo.
www.tecconcursos.com.br/questoes/2706197
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2008
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Os três princípios fundamentais aplicáveis à segurança da informação são:
a) confidencialidade, integridade e privacidade.
b) confidencialidade, não-repúdio e legitimidade.
c) confidencialidade, integridade e disponibilidade.
d) privacidade, disponibilidade e integridade.
https://www.tecconcursos.com.br/questoes/2694332
https://www.tecconcursos.com.br/questoes/2706197
50) 
51) 
e) privacidade, integridade e legitimidade.
www.tecconcursos.com.br/questoes/2682115
CESGRANRIO - Ana Sis (TERMOAÇU)/TERMOAÇU/2008
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
São macro fases de uma solução corporativa de segurança da informação:
a) Teste, Manutenção, Correção e Administração.
b) Análise, Teste, Correção e Manutenção.
c) Análise, Implementação, Correção e Administração.
d) Análise, Política, Implementação e Administração.
e) Diagnóstico, Implementação, Correção e Administração.
www.tecconcursos.com.br/questoes/2682205
CESGRANRIO - Ana Sis (TERMOAÇU)/TERMOAÇU/2008
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Como o Gerenciamento de Serviços em TI contribui para a qualidade do fornecimento de serviços
em TI?
a) Criando acordos de níveis de serviço com os fornecedores.
b) Definindo normas usualmente aceitas para níveis de serviço.
c) Planejando, implementando e gerenciando um conjunto coerente de processos para o
fornecimento de serviços em TI.
https://www.tecconcursos.com.br/questoes/2682115
https://www.tecconcursos.com.br/questoes/2682205
52) 
d) Promovendo o foco no cliente entre todos os empregados da organização de TI.
e) Registrando, em documentos formais, os acordos entre clientes internos e externos, e
fornecedores.
www.tecconcursos.com.br/questoes/2701776
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2006
TI - Segurança da Informação - Conceitos, Princípios e Atributos da Segurança da
Informação
Entre os aspectos importantes relativos à segurança de sistemas de informação, incluiem-se:
 
I - a existência de um plano de recuperação de desastres associado a uma estratégia de backups
freqüentes;
 
II - a utilização de firewalls para oferecer proteção contra ataques originados de dentro e de fora da
rede que estão protegendo, associada a mecanismos de detecção de intrusão;
 
III - a proteção de dados utilizando senhas e criptografia forte e algoritmos de chave simétrica que
utilizam senhas diferentes para encriptação e desencriptação.
 
Está(ão) correto(s) o(s) item(ns):
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
e) I, II e III.
https://www.tecconcursos.com.br/questoes/2701776
53) 
54) 
www.tecconcursos.com.br/questoes/297386
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte Operacional/2013
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Uma empresa está aplicando as orientações de PDCA, segundo a Norma ISO 27001. Para atender às
recomendações da norma, na fase de planejamento, a empresa deve, entre outros procedimentos,
a) determinar critérios de aceitação de riscos.
b) monitorar ativos, vulnerabilidades e ameaças.
c) conduzir programas de conscientização dos usuários.
d) compor um plano de tratamento de riscos com controles.
e) tomar ações corretivas e preventivas com suas experiências e as de terceiros.
www.tecconcursos.com.br/questoes/97808
ESAF - AFFC (STN)/STN/Tecnologiada Informação/Operação e Infraestrutura/2013
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Para a NBR ISO/IEC 27001:2006, tem-se que um documento da política de segurança da informação
deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas
relevantes. Isto é um(uma):
a) Objetivo de controle.
b) Basilar.
c) Ação essencial.
d) Controle.
e) Iniciativa de segurança da informação.
https://www.tecconcursos.com.br/questoes/297386
https://www.tecconcursos.com.br/questoes/97808
55) 
56) 
www.tecconcursos.com.br/questoes/97807
ESAF - AFFC (STN)/STN/Tecnologia da Informação/Operação e Infraestrutura/2013
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Na NBR ISO/IEC 27001:2006, define-se que o processo de seleção e implementação de medidas
para modificar um risco é o(a):
a) Tratamento de risco.
b) Gestão de risco.
c) Classificação de risco.
d) Plano de ação de risco.
e) Mitigação de risco.
www.tecconcursos.com.br/questoes/136641
CESGRANRIO - TBN (CEF)/CEF/Tecnologia da Informação/2012
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Criada para atender a todos os tipos de organizações, a NBR ISO/IEC 27001:2006
a) é um guia voltado para a implementação do sistema de gerenciamento de projetos da organização,
com o objetivo de garantir que os requisitos do Cliente sejam atendidos dentro do prazo, custo e
qualidade esperados.
b) é voltada para a implementação de um sistema de governança corporativa.
c) é voltada para a implantação do sistema de gestão de qualidade de uma organização com o
objetivo de garantir foco no Cliente e melhoria contínua na execução dos processos.
d) define normas e procedimentos para o desenvolvimento iterativo de sistemas de software.
https://www.tecconcursos.com.br/questoes/97807
https://www.tecconcursos.com.br/questoes/136641
57) 
58) 
e) especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) documentado dentro
do contexto dos riscos de negócios globais da organização.
www.tecconcursos.com.br/questoes/136642
CESGRANRIO - TBN (CEF)/CEF/Tecnologia da Informação/2012
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
A NBR ISO/IEC 27001:2006 define integridade como
a) a propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
b) a propriedade de salvaguarda da exatidão e completeza de ativos.
c) a propriedade na qual a informação não está disponível ou revelada a indivíduos, entidades ou
processos não autorizados.
d) o risco remanescente após o tratamento de riscos.
e) qualquer coisa que tenha valor para a organização.
www.tecconcursos.com.br/questoes/222089
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2012
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Um sistema de gestão de segurança da informação deve ser implementado através de um ciclo
PDCA (planejar, executar, avaliar e agir).
 
Dentre as atividades que pertencem à fase de execução, inclui-se a
https://www.tecconcursos.com.br/questoes/136642
https://www.tecconcursos.com.br/questoes/222089
59) 
a) seleção dos controles de segurança
b) monitoração dos controles de segurança
c) implementação de melhorias
d) estruturação do sistema de gestão de segurança da informação
e) classificação da informação
www.tecconcursos.com.br/questoes/2685655
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte/2010
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Para a gestão dos ativos, segundo a norma NBR ISO/ IEC 27001:2006, são feitas as seguintes
afirmativas:
 
I – todos os ativos devem ser claramente identificados e um inventário de todos os ativos
importantes deve ser estruturado e mantido;
 
II – a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organização;
 
III – todas as informações e ativos associados com os recursos de processamento da informação
devem ter um “proprietário” designado por uma parte definida da organização.
 
Está(ão) correta(s) a(s) afirmativa(s)
a) I, apenas.
b) II, apenas.
c) III, apenas.
d) I e II, apenas.
https://www.tecconcursos.com.br/questoes/2685655
60) 
e) I, II e III.
www.tecconcursos.com.br/questoes/2706195
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2008
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Nas afirmativas a seguir, sobre a norma ISO 27001, a sigla ISMS se refere a um Sistema de
Gerenciamento de Segurança da Informação (Information Security Management System) no contexto de
uma organização.
 
I - A norma ISO 27001 estabelece uma abordagem do tipo PDCA (Plan, Do, Check, Act) para a
definição e manutenção do ISMS.
 
II - A norma ISO 27001 prescreve as práticas de implantação e as métricas utilizadas para avaliar o
desempenho do ISMS.
 
III - Um dos controles listados na norma ISO 27001 preconiza que a organização deve manter
contato com grupos especiais de interesse ou outros fóruns e associações profissionais
especializados em segurança.
 
IV - O ISMS é definido formalmente na ISO 27001 como um conjunto de regras (rules) e boas
práticas (best practices) nas áreas de segurança física, autenticação de usuários, autorização de
acessos e manutenção de um ambiente controlado para o tratamento e gerenciamento de
informação e ativos sensíveis.
 
Estão corretas APENAS as afirmativas
https://www.tecconcursos.com.br/questoes/2706195
61) 
a) I e II
b) I e III
c) I e IV
d) II e III
e) II e IV
www.tecconcursos.com.br/questoes/2706358
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2008
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2006 e Versões Anteriores
Considere a seguinte frase sobre a norma ISO 27001:2005:
 
A norma ISO 27001:2005 utiliza o modelo de melhoria para estruturar todos os
processos do .
 
Qual das opções abaixo completa corretamente a frase acima?
a) PDCA e COBIT.
b) PDCA e SGSI.
c) SGSI e ITIL.
d) SGSI e COBIT.
e) SGSI e PDCA.
https://www.tecconcursos.com.br/questoes/2706358
62) 
63) 
www.tecconcursos.com.br/questoes/2780874
CESGRANRIO - TPP (IPEA)/IPEA/Infraestrutura de Tecnologia da Informação/2024
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2013
Na NBR ISO 27001:2013, são definidos requisitos genéricos e pensados para serem aplicáveis a
todas as organizações, independentemente do tipo, do tamanho ou da natureza.
 
Dentre os requisitos definidos para a avaliação do desempenho do Sistema de Gestão de Segurança da
Informação (SGSI), tem-se
a) a análise crítica pela direção a intervalos planejados.
b) a determinação dos limites e da aplicabilidade do sistema de gestão.
c) a determinação dos requisitos das partes interessadas.
d) o estabelecimento da política de segurança da informação.
e) um conjunto de ações para contemplar riscos e oportunidades.
www.tecconcursos.com.br/questoes/2695475
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2013
As organizações estabelecem e implementam um Sistema de Gestão de Segurança da Informação
(SGSI) com base em suas necessidades e em seus objetivos, em seus requisitos de segurança, em seus
processos organizacionais, em seu tamanho e em sua estrutura. A NBR ISO 27001:2013 define vários
itens que fazem parte da avaliação de desempenho do SGSI, dentre os quais
a) a auditoria interna
b) a avaliação de riscos de segurança da informação
https://www.tecconcursos.com.br/questoes/2780874
https://www.tecconcursos.com.br/questoes/2695475
64) 
65) 
c) as ações para contemplar riscos e oportunidades
d) o planejamentooperacional e o controle
e) o tratamento de riscos de segurança da informação
www.tecconcursos.com.br/questoes/2468102
FUNDATEC - Ana Sist (BRDE)/BRDE/Administração de Banco de Dados/2023
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2013
A norma brasileira ABNT NBR ISO/IEC 27001:2013 provê requisitos para estabelecer, implementar,
manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela
emprega terminologia derivada da norma internacional ISO/IEC 27000. Esta última estabelece um
conjunto de conceitos relacionados a risco. Um desses é definido como “O processo para compreender a
natureza do risco e para determinar o nível de risco”. O conceito assim definido na ISO/IEC 27000 é:
a) Risco residual.
b) Aceitação do risco.
c) Tratamento dos riscos.
d) Análise dos riscos.
e) Abordagem dos riscos.
www.tecconcursos.com.br/questoes/2468510
FUNDATEC - Ana Sist (BRDE)/BRDE/Subárea Suporte/2023
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2013
Qual é o objetivo principal da norma ISO 27001:2013?
a) Padronizar a qualidade de sistemas de gestão ambiental.
b) Estabelecer diretrizes para gestão de saúde e segurança ocupacional.
https://www.tecconcursos.com.br/questoes/2468102
https://www.tecconcursos.com.br/questoes/2468510
66) 
67) 
c) Garantir a segurança da informação em organizações.
d) Padronizar a gestão de continuidade de negócios.
e) Promover a sustentabilidade ecológica em organizações.
www.tecconcursos.com.br/questoes/635916
FGV - Ana TI (BANESTES)/BANESTES/Suporte e Infraestrutura/2018
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2013
A adoção de um Sistema de Gestão de Segurança da Informação (SGSI) é uma decisão estratégica
para as organizações.
De acordo com a norma ABNT NBR ISO/IEC 27001:2013, quando ocorre uma não conformidade no
SGSI, a organização deve:
a) evitar reagir à não conformidade de modo a controlá-la ou corrigi-la;
b) aceitar que impactos adversos podem ocorrer na operação e esperar que não volte a se repetir;
c) impedir mudanças no Sistema de Gestão de Segurança da Informação para assegurar que
auditorias internas possam ser realizadas;
d) determinar se não conformidades similares existem, ou podem potencialmente ocorrer;
e) forçar sua repetição ou ocorrência para comunicar às partes interessadas de forma apropriada.
www.tecconcursos.com.br/questoes/2321513
CESGRANRIO - Tec (CEFET RJ)/CEFET RJ/Laboratório/Informática/2014
TI - Segurança da Informação - SGSI - NBR ISO/IEC 27001/2013
A ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar
continuamente um sistema de gestão da segurança da informação (SGSI) dentro do contexto da
https://www.tecconcursos.com.br/questoes/635916
https://www.tecconcursos.com.br/questoes/2321513
68) 
organização.
 
Na etapa de melhoria do processo de implantação do SGSI, a ação corretiva visa a
a) eliminar a causa e a repetição de qualquer não conformidade observada nas fases do SGSI.
b) eliminar as causas de não conformidades potenciais com os requisitos do SGSI, de forma a evitar
a sua ocorrência.
c) realizar auditorias internas das não conformidades para corrigir e adequar o SGSI.
d) realizar análise crítica das não conformidades para corrigir e adequar o SGSI.
e) determinar as responsabilidades dos indivíduos em relação às não conformidades e aplicar as
punições previstas.
www.tecconcursos.com.br/questoes/2780875
CESGRANRIO - TPP (IPEA)/IPEA/Infraestrutura de Tecnologia da Informação/2024
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na NBR ISO 27005:2019, é estabelecido que as opções de tratamento do risco sejam selecionadas
com base no resultado do processo de avaliação de riscos, no custo esperado para implementação
dessas opções e nos benefícios previstos. A ação de uma das opções de tratamento do risco recomenda
que o nível de risco seja gerenciado por meio da inclusão, da exclusão ou da alteração de controles, para
que o risco residual possa ser reavaliado e, então, considerado aceitável.
 
Essa opção de tratamento do risco é a de
a) aceitação do risco
b) compartilhamento do risco
c) evitação do risco
https://www.tecconcursos.com.br/questoes/2780875
69) 
d) modificação do risco
e) retenção do risco
www.tecconcursos.com.br/questoes/2695478
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Na NBR ISO 27005:2019, é estabelecido que a análise de riscos pode ser empreendida com
diferentes graus de detalhamento, dependendo da criticidade dos ativos, da extensão das
vulnerabilidades conhecidas e dos incidentes anteriores envolvendo a organização. Há uma metodologia
de análise de riscos que utiliza uma escala com atributos que descrevem a magnitude das consequências
potenciais (por exemplo, pequena, média e grande) e a probabilidade de essas consequências ocorrerem
(por exemplo, alta, média e baixa). Essa metodologia de análise de riscos é classificada como
a) combinada
b) geométrica
c) ponderada
d) qualitativa
e) quantitativa
www.tecconcursos.com.br/questoes/2010899
Instituto AOCP - Tec Ban III (BANESE)/BANESE/Informática/Suporte/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/2695478
https://www.tecconcursos.com.br/questoes/2010899
70) 
71) 
Dentre as opções de tratamento de riscos, identifique a ação que NÃO é uma das quatro
abordagens principais.
a) Aceitar o risco.
b) Transferir o risco.
c) Comunicar o risco.
d) Evitar o risco.
e) Mitigar o risco.
www.tecconcursos.com.br/questoes/2041503
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC 27005, dentre os quesitos para seleção das opções de
tratamento do risco, devem ser observados o custo esperado para implementação dessas opções e os
benefícios previstos. As opções disponíveis para o tratamento do risco são
a) modificação do risco, retenção do risco, ação de evitar o risco e compartilhamento do risco.
b) modificação do risco, retenção do risco e ação de evitar o risco, apenas.
c) modificação do risco, ação de evitar o risco e compartilhamento do risco, apenas.
d) retenção do risco, ação de evitar o risco e compartilhamento do risco, apenas.
e) retenção do risco e ação de evitar o risco, apenas.
https://www.tecconcursos.com.br/questoes/2041503
72) 
73) 
www.tecconcursos.com.br/questoes/2041481
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ABNT NBR ISO/IEC 27005 fornece diretrizes para o processo de gestão de riscos de
segurança da informação.
 
Essa norma mostra um processo de gestão de riscos de segurança da informação no qual o processo de
avaliação de riscos deve ser executado na seguinte ordem:
a) identificação de riscos, análise de riscos e tratamento de riscos
b) identificação de riscos, análise de riscos e avaliação de riscos
c) análise de riscos, identificação de riscos e avaliação de riscos
d) análise de riscos, identificação de riscos e tratamento de riscos
e) identificação de riscos, avaliação de riscos e tratamento de riscos
www.tecconcursos.com.br/questoes/690144
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A norma ISO ABNT NBR ISO/IEC 27005:2011, em seu Anexo E, sugere abordagens para o processo
de avaliação de riscos de segurança da informação. O método de ordenação de ameaças, em função dos
riscos, é baseado em uma tabela ou matriz emque são listadas todas as ameaças e, para cada uma
https://www.tecconcursos.com.br/questoes/2041481
https://www.tecconcursos.com.br/questoes/690144
74) 
delas, avaliam-se numericamente ______________ e ___________. É realizado ____________ destes
dois valores de modo a se obter a medida do risco, possibilitando que as ameaças sejam ordenadas
segundo o seu nível de risco.
 
Assinale a alternativa que completa, correta e respectivamente, as lacunas do texto acima.
a) a facilidade de exploração da ameaça – a probabilidade de cenário de incidente – o produto
b) o valor do ativo – o impacto ao negócio – o somatório
c) o impacto ao negócio – a facilidade de exploração da vulnerabilidade – o somatório
d) o nível da vulnerabilidade – a facilidade de exploração da ameaça – o produto
e) o valor da consequência (do ativo) – a probabilidade de ocorrência da ameaça – o produto
www.tecconcursos.com.br/questoes/635915
FGV - Ana TI (BANESTES)/BANESTES/Suporte e Infraestrutura/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ABNT NBR ISO/IEC 27005:2011, as quatros opções disponíveis para o
tratamento do risco são:
a) antecipar, adiar, evitar, ignorar;
b) modificar, reter, evitar, compartilhar;
c) modificar, reparar, aceitar, impedir;
d) antecipar, reter, aceitar, compartilhar;
e) antecipar, reparar, evitar, impedir.
https://www.tecconcursos.com.br/questoes/635915
75) 
www.tecconcursos.com.br/questoes/690146
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
De acordo com a norma ISO ABNT NBR ISO/IEC 27005:2011, é correto afirmar que:
a) o processo de identificação de ativos deve limitar-se ao escopo estabelecido para a gestão de
riscos.
b) considerando a natureza estática dos riscos, a revisão dos mesmos somente será necessária no
caso de inclusão de novos ativos no escopo da gestão de riscos.
c) a presença de vulnerabilidades, por si só, requer a previsão de controles para a mitigação dos
riscos.
d) as informações sobre riscos devem ser protegidas e restritas ao tomador de decisão e à equipe
técnica de análise de riscos.
e) a metodologia de análise de riscos deve ser quantitativa, de modo a serem utilizados valores
numéricos para os riscos.
www.tecconcursos.com.br/questoes/635863
FGV - Ana TI (BANESTES)/BANESTES/Desenvolvimento de Sistemas/2018
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
https://www.tecconcursos.com.br/questoes/690146
https://www.tecconcursos.com.br/questoes/635863
76) 
77) 
Sobre gestão e análise de Riscos de TI, com base na norma ABNT NBR ISO/IEC 27005:2011, analise
as afirmativas a seguir.
I. Requisitos regulatórios são irrelevantes ao avaliar os riscos de segurança da informação na
organização.
II. As expectativas e percepções das partes interessadas devem ser consideradas ao estabelecerem
os critérios para avaliação de riscos.
III. A análise de riscos deve ser empreendida independentemente da criticidade dos ativos.
Está correto o que se afirma em:
a) somente I;
b) somente II;
c) somente III;
d) somente II e III;
e) I, II e III.
www.tecconcursos.com.br/questoes/222236
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2012
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
A política de proteção da informação espelha as decisões da empresa com respeito à manipulação e
à proteção da informação.
 
https://www.tecconcursos.com.br/questoes/222236
78) 
Um dos pontos chaves dessa política é que
a) a proteção está limitada à área de tecnologia da informação (TI).
b) a empresa deve declarar que a informação é um ativo da empresa e é propriedade da
organização.
c) o processo de classificação da informação é um processo técnico que dispensa o papel ativo do
setor gerencial da empresa.
d) um processo ou sistema específico deve ser interrompido diante de um risco residual conhecido.
e) as reavaliações periódicas da política devem ser evitadas para impedir a distorção das decisões
originalmente tomadas pela empresa.
www.tecconcursos.com.br/questoes/2682207
CESGRANRIO - Ana Sis (TERMOAÇU)/TERMOAÇU/2008
TI - Segurança da Informação - NBR ISO/IEC 27005 - Gestão de Riscos de Segurança da
Informação
Em Segurança da Informação, uma distinção entre análise de risco - AR e gerência de risco – GR é
que na
a) AR é estabelecida uma política de gerência de risco, na GR são estabelecidos critérios de aceitação
do risco.
b) AR são definidas a metodologia e as ferramentas para a análise, na GR são estabelecidos critérios
de aceitação do Risco.
c) AR é escolhida a equipe de segurança e na GR a equipe estabelece as ferramentas de análise.
d) AR é definido o escopo do projeto, na GR é estabelecida a equipe de segurança.
e) GR é feita a identificação e avaliação dos ativos e na AR é estabelecida uma Política de Gerência
de Risco.
https://www.tecconcursos.com.br/questoes/2682207
79) 
80) 
www.tecconcursos.com.br/questoes/2780865
CESGRANRIO - TPP (IPEA)/IPEA/Infraestrutura de Tecnologia da Informação/2024
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
De acordo com a matriz MITRE ATT&CK® para empresas, os adversários utilizam a tática de
impacto quando tentam manipular, interromper ou destruir os sistemas e seus dados.
 
Um exemplo de técnica dessa tática é a(o)
a) força bruta
b) remoção de acesso à conta
c) descoberta de arquivos e pastas
d) sequestro do fluxo de execução
e) abuso do mecanismo de controle de elevação
www.tecconcursos.com.br/questoes/2780863
CESGRANRIO - TPP (IPEA)/IPEA/Infraestrutura de Tecnologia da Informação/2024
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
As ameaças de segurança cibernética exploram o aumento da complexidade e da conectividade de
sistemas de infraestrutura crítica, podendo colocar em risco aspectos relacionados à segurança de uma
nação, afetando sua economia, seu sistema de saúde e sua segurança pública. No Guia de
Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica, do National Institute of Standards
and Technology (NIST), versão 1.1, é definida uma estrutura básica que fornece um conjunto de
atividades para alcançar resultados específicos de segurança cibernética. As funções dessa estrutura
básica organizam atividades básicas de segurança cibernética em seu nível mais alto. Uma dessas
https://www.tecconcursos.com.br/questoes/2780865
https://www.tecconcursos.com.br/questoes/2780863
81) 
funções tem o objetivo de desenvolver uma compreensão organizacional para gerenciar o risco de
segurança cibernética no que tange a sistemas, pessoas, ativos, dados e recursos.
 
O objetivo descrito é o da função de
a) detectar
b) identificar
c) proteger
d) recuperar
e) responder
www.tecconcursos.com.br/questoes/2780864
CESGRANRIO - TPP (IPEA)/IPEA/Infraestrutura de Tecnologia da Informação/2024
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Na MITRE ATT&CK®, é disponibilizada uma base de conhecimento pública sobre táticas e técnicas
adversárias que pode ser visualizada como matrizes em diferentes contextos. Uma vez dentro de uma
rede, os adversários podem usar a técnica de exploração de serviços remotos para obter acesso não
autorizado a sistemas internos.
 
De acordo com a matriz MITRE ATT&CK® para empresas, essa técnica é um exemplo da tática de
a) execução
b) persistência
c) movimento lateral
d) comando e controle
e) desenvolvimento de recursos
https://www.tecconcursos.com.br/questoes/2780864
82) 
83) 
www.tecconcursos.com.br/questoes/2695482
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Na NBR ISO 29134:2020, é recomendada a elaboração de um instrumento para avaliar ospotenciais
impactos de um processo, de um sistema de informação, de um programa, de um módulo de software,
de um dispositivo ou de outra iniciativa que trate dados pessoais na privacidade. Além disso, é
recomendada, também, a consulta às partes interessadas, para tomar ações necessárias para tratar os
riscos à privacidade. A partir desse instrumento, é possível elaborar um relatório incluindo uma
documentação sobre medidas tomadas para o tratamento de riscos. De acordo com essa norma, esse
relatório é o de
a) DP
b) PIA
c) P&D
d) R&D
e) SGSI
www.tecconcursos.com.br/questoes/749524
FADESP - Tec Info (BANPARÁ)/BANPARÁ/Suporte/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
O comitê de segurança da informação tem como função divulgar e estabelecer os procedimentos de
segurança, por exemplo, de uma empresa, com o objetivo de manter a segurança em todas as suas
áreas. Não é/são função(ões) do comitê de segurança da informação
a) a aprovação das políticas, normas e procedimentos de segurança da informação.
https://www.tecconcursos.com.br/questoes/2695482
https://www.tecconcursos.com.br/questoes/749524
84) 
b) a aprovação de novos controles de segurança para melhoria contínua das medidas de proteção.
c) a definição das tecnologias a serem implantadas para minimização dos riscos de segurança da
informação.
d) a deliberação sobre temas ou ações não definidas em normas já publicadas.
e) a designação, a definição ou a alteração das responsabilidades da área de segurança da
informação.
www.tecconcursos.com.br/questoes/690941
FAURGS - Tec TI (BANRISUL)/BANRISUL/Gestão de TI/2018
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Numere a segunda coluna de acordo com a primeira, associando os tipos de fatores de risco em TI
às suas respectivas definições.
 
(1) Risco de Desempenho
 
(2) Risco de Custo
 
(3) Risco de Suporte
 
(4) Risco de Cronograma
 
( ) É o grau de incerteza de que o cronograma de projeto será mantido e de que o produto será
entregue dentro do prazo.
 
( ) É o grau de incerteza de que o orçamento do projeto será mantido.
 
( ) É o grau de incerteza de que o produto resultante será fácil de corrigir, adaptar e melhorar.
https://www.tecconcursos.com.br/questoes/690941
85) 
 
( ) É o grau de incerteza de que o produto atenderá aos requisitos e será adequado para o uso que
se pretende.
 
A sequência correta de preenchimento dos parênteses da segunda coluna, de cima para baixo, é
a) 3 – 2 – 1 – 4.
b) 4 – 1 – 2 – 3.
c) 1 – 4 – 2 – 3.
d) 2 – 1 – 3 – 4.
e) 4 – 2 – 3 – 1.
www.tecconcursos.com.br/questoes/2324467
CESGRANRIO - Tecno (CEFET RJ)/CEFET RJ/2014
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Um instrutor de segurança da informação, ao discutir riscos com seus instruendos, definiu o que
chamou de Equação do Risco. Ficou claro em sua exposição que conceituava risco como a probabilidade
resultante da interação de quatro fatores: ameaças ao sistema, vulnerabilidades do sistema, impactos
nos negócios e medidas de segurança.
 
Portanto, com essa conceituação, o risco cresceria em proporção
a) direta com as ameaças e inversa com os impactos.
b) direta com as vulnerabilidades e inversa com as ameaças.
https://www.tecconcursos.com.br/questoes/2324467
86) 
87) 
c) direta com os impactos e inversa com as medidas de segurança.
d) direta tanto com as ameaças quanto com as medidas de segurança.
e) inversa tanto com as medidas de segurança quanto com as vulnerabilidades.
www.tecconcursos.com.br/questoes/318926
IDECAN - Ana TI (BANESTES)/BANESTES/Desenvolvimento de Sistemas/2012
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
A análise de risco é composta por quatro atividades. NÃO apresenta uma atividade de análise de
risco.
a) Identificação.
b) Projeção.
c) Avaliação.
d) Codificação.
e) Administração.
www.tecconcursos.com.br/questoes/2309388
CESGRANRIO - Ana (PQS)/PQS/Sistemas/Negócio/2012
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Os riscos de segurança da informação crescem com a redução das ameaças.
 
PORQUE
 
Os riscos de segurança da informação diminuem com o aumento das vulnerabilidades.
 
https://www.tecconcursos.com.br/questoes/318926
https://www.tecconcursos.com.br/questoes/2309388
88) 
Analisando-se as afirmações acima, conclui-se que
a) as duas afirmações são verdadeiras, e a segunda justifica a primeira.
b) as duas afirmações são verdadeiras, e a segunda não justifica a primeira.
c) a primeira afirmação é verdadeira, e a segunda é falsa.
d) a primeira afirmação é falsa, e a segunda é verdadeira.
e) as duas afirmações são falsas.
www.tecconcursos.com.br/questoes/349742
CESGRANRIO - Prof Jun (BR)/BR/Análise de Sistemas/Infraestrutura/2012
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Em um ambiente de rede de uma empresa foram identificados os seguintes riscos, com sua
probabilidade de ocorrência e impacto de custo:
 
Identificação do
Risco Risco Probabilidade Impacto de
Custo
1 Pane elétrica causada por problemas na rede de
energia 20% R$ 50.000,00
2 Implantação de atualizações no servidor para
otimizar controle sobre aplicações. 50% R$ 2.570,00
3 Interrupção da internet por conta de problemas
com provedor Frame-Relay 30% R$ 30.000,00
3 Falta do administrador da rede 20% R$ 160,00
 
Considerando que os riscos 1, 3 e 4 são vistos pela empresa como prejudiciais, e o risco 2, como
oportunidade, qual é o valor absoluto, em reais, da reserva de contingência para esse caso?
https://www.tecconcursos.com.br/questoes/349742
89) 
90) 
a) 2.253,00
b) 2.317,00
c) 17.747,00
d) 20.317,00
e) 20.253,00
www.tecconcursos.com.br/questoes/2338335
CESGRANRIO - Ana (CMB)/CMB/TI/Segurança da Informação/2012
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
O processo de gerenciamento de risco se resume em identificar os riscos, avaliar a probabilidade dos
riscos acontecerem e determinar os controles para
a) eliminar todos os riscos identificados e prover 100% de segurança.
b) eliminar alguns riscos identificados e prover entre 60% e 80% de segurança.
c) eliminar alguns riscos identificados e prover, no máximo, 50% de segurança.
d) reduzir os riscos identificados a um nível aceitável.
e) impedir todo e qualquer acesso ao ativo.
www.tecconcursos.com.br/questoes/1390150
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2010
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
A análise de um dos sistemas críticos de uma empresa gerou um relatório com as seguintes
informações, registradas na tabela que se segue: categoria da ameaça; quantidade de ameaças de cada
categoria, expressa em percentagem de ocorrências; vulnerabilidade do sistema em relação à ocorrência,
https://www.tecconcursos.com.br/questoes/2338335
https://www.tecconcursos.com.br/questoes/1390150
expressa em probabilidade de sucesso da ocorrência e valor do dano causado pela ocorrência, expresso
em unidade monetária.
 
AMEAÇA
OCORRÊNCIA
RELATIVA
(%)
VULNERABILIDADE
À
OCORRÊNCIA
(%)
DANO (um)
V 21 9 1
W 28 7 1
X 41 3 1
Y 6 1 10
Z 4 1 10
 
O Comitê Gestor da Segurança concluiu, então, que os eventos com maior potencial de causar prejuízo
são os eventos da categoria
a) V.
b) W.
c) X.
d) Y.
e) Z.
www.tecconcursos.com.br/questoes/2674068
CESGRANRIO - ASis (Eletrobras)/Eletrobras/Infraestrutura/2010
https://www.tecconcursos.com.br/questoes/2674068
91) 
92) 
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Uma empresa recebeu um relatório de segurança de uma consultoria, em que são apontados alguns
exemplos de ameaças, tais como
a) falhas de comunicação e criptografia fraca.
b) criptografia fraca e bug em software.
c) ausência de gerador de energia e incêndio.
d) erro humano e ausência de gerador de energia.
e) pane elétrica e incêndio.
www.tecconcursos.com.br/questoes/83180
CESGRANRIO - PB (BNDES)/BNDES/Análise de Sistemas - Suporte/2007TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
Assinale a opção que, no âmbito da segurança da informação, NÃO é um exemplo de
vulnerabilidade.
a) Funcionário desonesto.
b) Firewall mal configurado.
c) Sistema operacional desatualizado.
d) Links sem contingência.
e) Rede elétrica instável.
www.tecconcursos.com.br/questoes/13000
FCC - Ana (BACEN)/BACEN/Tecnologia da Informação/Suporte à Infraestrutura de TI/2006
TI - Segurança da Informação - Conceitos de Riscos e Outras Normas
https://www.tecconcursos.com.br/questoes/83180
https://www.tecconcursos.com.br/questoes/13000
93) 
94) 
Sobre avaliação dos riscos de segurança, segundo a norma NBR ISO/IEC 17799, deve-se
I. desconsiderar as mudanças nos requisitos do negócio e suas prioridades.
II. considerar novas ameaças e vulnerabilidades aos ativos.
III. priorizar a avaliação dos novos controles sobre os controles já implementados.
IV. realizar análises críticas periódicas.
É correto o que consta APENAS em
a) III e IV.
b) II e IV.
c) II e III.
d) I e III.
e) I e II.
www.tecconcursos.com.br/questoes/2010886
Instituto AOCP - Tec Ban III (BANESE)/BANESE/Informática/Suporte/2022
TI - Segurança da Informação - Política de Segurança da Informação
Você é responsável pela elaboração de uma política de segurança que trata especificamente sobre o
uso adequado de equipamentos corporativos de TIC. Como responsável pela elaboração do documento,
você também deve ter conhecimento sobre as práticas corretas em relação à política. Assinale a
alternativa que possui uma ação correta em relação à Política de Segurança, de acordo com as melhores
práticas de mercado.
a) A divulgação da política deve partir das equipes técnicas da segurança que elaboraram o
documento.
https://www.tecconcursos.com.br/questoes/2010886
95) 
b) É um documento que, por questões óbvias de segurança, não deve ser divulgado amplamente na
empresa.
c) Por ser um documento interno, deve atender unicamente os interesses da organização.
d) Deve ser revisada e atualizada frequentemente, de preferência semanalmente.
e) O documento deve abordar o que é permitido ou o que não é permitido fazer, mas não como
fazer.
www.tecconcursos.com.br/questoes/749440
FADESP - Tec Info (BANPARÁ)/BANPARÁ/Desenvolvimento de Sistema e Acompanhamento
de Projetos, Suporte e Banco de Dados/2018
TI - Segurança da Informação - Política de Segurança da Informação
A política de segurança da informação de uma organização deve assegurar a existência de uma
metodologia capaz de orientar todo processo de gerência de mudanças no ambiente, capaz de prover
padronização e controle para gerir toda alteração no ambiente de produção. São exemplos de atividades
de controle providos pelo processo de gerenciamento de mudanças
a) a análise de impacto e a segregação de ambientes.
b) a estrutura organizacional e a integridade.
c) a aprovação e a normatização interna.
d) a conciliação e o processamento de informações.
e) a análise de desempenho e a emissão de padrões.
www.tecconcursos.com.br/questoes/835980
https://www.tecconcursos.com.br/questoes/749440
https://www.tecconcursos.com.br/questoes/835980
96) 
97) 
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Analista de
Sistemas/2018
TI - Segurança da Informação - Política de Segurança da Informação
Política de segurança da informação é a documentação que espelha as decisões da empresa com
respeito à manipulação e à proteção da informação.
 
O conjunto de políticas deve ser definido, aprovado pela direção, publicado e comunicado para
a) todos os funcionários e partes externas relevantes.
b) apenas os diretores da empresa.
c) apenas os diretores e gerentes da empresa.
d) apenas os diretores, gerentes e supervisores da empresa.
e) apenas os diretores, gerentes, supervisores e líderes de equipe da empresa.
www.tecconcursos.com.br/questoes/690875
FAURGS - Tec TI (BANRISUL)/BANRISUL/Gestão de TI/2018
TI - Segurança da Informação - Política de Segurança da Informação
Considere as seguintes afirmações sobre Política de Segurança, em particular com foco no que a
ISO/IEC 27002 estabelece para relacionamentos com fornecedores.
 
I - Requisitos de segurança da informação para a mitigação de riscos associados ao acesso do
fornecedor aos ativos organizacionais devem ser acordados com o fornecedor e documentados.
https://www.tecconcursos.com.br/questoes/690875
98) 
 
II - Requisitos relevantes de segurança da informação devem ser estabelecidos e acordados com
cada fornecedor que pode acessar, processar, armazenar, comunicar ou fornecer componentes de
infraestrutura de TI para as informações da organização.
 
III - Acordos com fornecedores devem incluir requisitos que tratem dos riscos de segurança da
informação, associados aos serviços de tecnologia da informação e comunicação e à cadeia de
suprimento dos produtos.
 
Quais estão corretas?
a) Apenas I.
b) Apenas I e II.
c) Apenas I e III.
d) Apenas II e III.
e) I, II e III.
www.tecconcursos.com.br/questoes/690132
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - Política de Segurança da Informação
Em relação à Política de Segurança da Informação (PSI), a norma ISO ABNT NBR ISO/IEC
27002:2013 recomenda
a) o alinhamento da PSI da organização com a PSI dos órgãos de controle externo da organização.
https://www.tecconcursos.com.br/questoes/690132
99) 
b) que seja um documento único, detalhado e autocontido, facilitando a divulgação e aumentando
sua aplicabilidade.
c) uma revisão com periodicidade mínima de um ano, visando assegurar a sua contínua pertinência,
adequação e eficácia.
d) que o Gestor de TI tenha autonomia para alterar e publicar a PSI.
e) que sejam contemplados requisitos oriundos de regulamentações, legislação e contratos.
www.tecconcursos.com.br/questoes/749528
FADESP - Tec Info (BANPARÁ)/BANPARÁ/Suporte/2018
TI - Segurança da Informação - Política de Segurança da Informação
Sobre o que deve conter o documento que reúne as diretrizes para a implementação de uma política
de segurança da informação, regidas pela Norma NBR ISO/IEC 17799:2005, considere os itens a seguir:
I Uma definição de segurança da informação, suas metas globais, escopo e importância da
segurança da informação como um mecanismo que habilita o compartilhamento da informação.
II Uma declaração do comprometimento da direção, apoiando as metas e os princípios da segurança
da informação, alinhada com os objetivos e estratégias do negócio.
III Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de
análise/avaliação e gerenciamento de risco.
IV Breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da
informação específicos para a organização.
https://www.tecconcursos.com.br/questoes/749528
100) 
V Definição das responsabilidades gerais e específicas na gestão da segurança da informação,
incluindo o registro dos incidentes de segurança da informação.
VI Referências à documentação que possam apoiar a política, por exemplo, políticas e
procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de
segurança que os usuários devem seguir.
Estão corretos os itens
a) I, II e VI.
b) I, II, III, IV, V e VI.
c) II, III, V e VI.
d) I, III e IV.
e) III, IV e VI.
www.tecconcursos.com.br/questoes/2324456
CESGRANRIO - Tecno (CEFET RJ)/CEFET RJ/2014
TI - Segurança da Informação - Política de Segurança da Informação
Observe as afirmativas a seguir relacionadas à Política de Segurança da Informação de uma
organização.
 
https://www.tecconcursos.com.br/questoes/2324456
101) 
I – As diretrizes para implementação da Política de Segurança da Informação devem incluir
declaração relativa ao comprometimento da direção.
 
II – O objetivo de uma Política de Segurança da Informação é divulgar as decisões da direção,
tomadas após ter ouvido a CIPA, para a segurança da informação de acordo com asleis vigentes no
país.
 
III – A orientação da Política de Segurança da Informação deve estar alinhada aos objetivos do
negócio.
 
É correto o que se afirma em
a) I, apenas
b) II, apenas
c) I e III, apenas
d) II e III, apenas
e) I, II e III
www.tecconcursos.com.br/questoes/2324438
CESGRANRIO - Tecno (CEFET RJ)/CEFET RJ/2014
TI - Segurança da Informação - Política de Segurança da Informação
A política de Segurança da Informação e Comunicação na Administração Pública Federal deve
descrever e abordar os seguintes temas:
a) ETIR, continuidade e conformidade
b) controle de acesso, uso de email e vulnerabilidades
c) gestão de risco, acesso à internet e regras de acesso por firewall
https://www.tecconcursos.com.br/questoes/2324438
102) 
d) auditoria, uso de telefonia celular corporativa e log de incidentes
e) ferramentas de segurança de rede, riscos e penalidades
www.tecconcursos.com.br/questoes/2332060
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Desenvolvimento
de Aplicações/2012
TI - Segurança da Informação - Política de Segurança da Informação
O objetivo de uma Política de Segurança é prover uma orientação e um apoio da direção para a
segurança da informação, de acordo com os requisitos do negócio e com as leis e regulamentações
relevantes.
 
A Política de Segurança deve
a) ser analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem,
para assegurar a sua contínua pertinência, adequação e eficácia.
b) ser estabelecida a priori e não deve sofrer modificações, já que dela dependem os controles que
asseguram a integridade e confidencialidade dos ativos da organização.
c) ser sólida o suficiente para não ter que ser criticada na presença de mudanças no ambiente
organizacional, nas circunstâncias do negócio ou no ambiente técnico.
d) gerar um documento que será mantido com a classificação mais alta possível de
confidencialidade, disponível apenas aos gestores, já que estabelece critérios de natureza crítica para
a organização e que não devem ser amplamente divulgados sob pena de comprometer a segurança
como um todo.
e) isentar-se de estabelecer responsabilidades específicas de gestão da segurança da informação, já
que as estruturas organizacionais podem ser modificadas, e essas responsabilidades teriam que ser
modificadas também.
https://www.tecconcursos.com.br/questoes/2332060
103) 
www.tecconcursos.com.br/questoes/319152
IDECAN - Ana TI (BANESTES)/BANESTES/Suporte e Infraestrutura/2012
TI - Segurança da Informação - Política de Segurança da Informação
Em qualquer sistema computadorizado, falhas podem ocorrer e devem ser evitadas, ou numa
eventual ação, corrigidas.
 
Assinale a alternativa INCORRETA.
a) O objetivo de ponto de recuperação (Recovery Point Objective – RPO) é a idade dos arquivos que
devem ser recuperados do armazenamento em backup para as operações normais com a finalidade
de retornar a operação caso um computador, sistema ou a rede “caia” como resultado de falha de
hardware, de programas ou de comunicação.
b) O RPO é expresso para trás no tempo (isto é, no passado) a partir do instante em que a falha
ocorre e pode ser especificado em segundos, minutos, horas ou dias.
c) O RTO é uma função na medida em que a interrupção perturba o funcionamento normal e a
quantidade de perda de receita por unidade de tempo, como resultado do desastre.
d) O Objetivo de Tempo para Recuperação (RTO – Recovery Time Objective) é o período de tempo
máximo tolerado durante o qual um computador, sistema, rede ou aplicação pode estar desligado
após a ocorrência de uma falha ou desastre.
e) MTBR – (Mean Time Between Repair) – é dado como sendo a divisão entre a soma das horas de
indisponibilidade para a operação devido à manutenção (HIM) pelo número de intervenções corretivas
no período (NC).
www.tecconcursos.com.br/questoes/1362997
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2011
TI - Segurança da Informação - Política de Segurança da Informação
https://www.tecconcursos.com.br/questoes/319152
https://www.tecconcursos.com.br/questoes/1362997
104) 
105) 
A política de segurança da informação, segundo a Norma ISO 27002/2005, tem por objetivo prover
uma orientação e apoio à direção para a segurança da informação de acordo com os requisitos do
negócio e com as leis e regulamentações relevantes.
 
PORQUE
 
As diretrizes para implementação da política de segurança da informação devem conter declaração dos
gerentes de nível intermediário, apoiando as metas e os princípios da segurança da informação, alinhada
com os objetivos e estratégias da tecnologia da informação.
 
Analisando as afirmações acima, conclui-se que
a) as duas afirmações são verdadeiras, e a segunda justifica a primeira.
b) as duas afirmações são verdadeiras, e a segunda não justifica a primeira.
c) a primeira afirmação é verdadeira, e a segunda é falsa.
d) a primeira afirmação é falsa, e a segunda é verdadeira.
e) as duas afirmações são falsas.
www.tecconcursos.com.br/questoes/1362910
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2011
TI - Segurança da Informação - Política de Segurança da Informação
Conforme a NBR/ISO 27002, o objetivo da Política de Segurança da Informação é
https://www.tecconcursos.com.br/questoes/1362910
106) 
a) estabelecer uma estrutura para implantar controles e sistemas de gerenciamento de risco de
comprometimento da informação relevante para o negócio.
b) designar um gerente gestor com responsabilidade pelo desenvolvimento e pela análise crítica da
política de segurança da informação.
c) implantar um sistema de segurança e distribuição de chaves para acesso aos sistemas
considerados críticos para a competitividade do negócio.
d) prover uma orientação e o apoio da direção para a segurança da informação, de acordo com os
requisitos do negócio e com as leis e regulamentações relevantes.
e) tornar públicos o comprometimento da direção com os propósitos da segurança da informação e o
enfoque adotado no processo de gerenciamento da segurança da informação.
www.tecconcursos.com.br/questoes/1396876
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2010
TI - Segurança da Informação - Política de Segurança da Informação
Ao contratar uma empresa de tecnologia para criar novo software visando à otimização de seus
negócios, a organização contratante exigiu que o software fosse desenvolvido de acordo com as regras
definidas para a segurança da informação, porque uma boa política de segurança, entre outras normas,
estabelece
a) os princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos
computacionais.
https://www.tecconcursos.com.br/questoes/1396876
107) 
b) os controles sobre os aspectos de integridade e funcionalidade de todos os softwares, como
também sobre seus custos diretos.
c) as prioridades para o monitoramento funcional de toda a informação que trafega dentro da
empresa por meios eletrônicos.
d) as regras para desenvolvimento de sistemas computacionais, priorizando, além da segurança, as
metodologias de implantação.
e) as metas para organização e customização de tecnologias voltadas para o desenvolvimento
do marketing da empresa.
www.tecconcursos.com.br/questoes/1396874
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2010
TI - Segurança da Informação - Política de Segurança da Informação
As políticas de segurança da informação devem ser definidas pela equipe de segurança e estar
alinhadas com os demais departamentos da empresa. Antes de definir as regras e as políticas de
segurança, é preciso determinar, em relação ao projeto de segurança a ser implementado, a(o)
a) verba inicial e o tempo necessário para executar o projeto.
b) equipe executora e a responsabilidade pela gestão do projeto.
c) ferramenta mais apropriada para monitorar as transações definidas.
d) escopo, as prioridades e os objetos alvo de proteção.
e) tempo máximo para implantação do projeto.
https://www.tecconcursos.com.br/questoes/1396874108) 
www.tecconcursos.com.br/questoes/24464
ESAF - Ana Tec (SUSEP)/SUSEP/Tecnologia da Informação/2010
TI - Segurança da Informação - Política de Segurança da Informação
Por política de segurança entende-se
a) política planejada, válida para os setores críticos da organização, com regras o mais claro e simples
possível, e estrutura gerencial de fiscalização dessa política, claramente sustentada pela alta
hierarquia da área de informática.
b) política elaborada, implantada e em contínuo processo de revisão, válida para toda a organização,
com regras o mais claro e simples possível, e estrutura gerencial e material de suporte a essa política,
claramente sustentada pela alta hierarquia.
c) política e diretrizes de implantação, em contínuo processo de desenvolvimento, fiscalizada por toda
a organização, com regras criptografadas e estrutura matricial e material de priorização dessa política,
claramente sustentada pela alta hierarquia.
d) política elaborada, implantada e imune a revisões, válida para toda a organização,com estrutura
gerencial de regras de formalização individualizada dessa política nas unidades organizacionais,
claramente sustentada pelos gestores do nível operacional.
e) o conjunto de diretrizes e metas elaboradas, implantadas e em contínuo processo de revisão,
válidas para os responsáveis pela segurança, com técnicas criptográficas o mais claro e simples
possível, e estrutura gerencial e material de terceirização de procedimentos, sustentada pela alta
hierarquia, quando possível.
www.tecconcursos.com.br/questoes/82721
CESGRANRIO - PB (BNDES)/BNDES/Análise de Sistemas - Suporte/2008
https://www.tecconcursos.com.br/questoes/24464
https://www.tecconcursos.com.br/questoes/82721
109) 
110) 
TI - Segurança da Informação - Política de Segurança da Informação
NÃO é uma boa prática de uma política de segurança:
a) difundir o cuidado com a segurança.
b) definir responsabilidades claras de usuários e administradores.
c) ser de fácil leitura e compreensão.
d) incluir os detalhes técnicos de implementação dos mecanismos de segurança.
e) explicitar conseqüências das violações da própria política.
www.tecconcursos.com.br/questoes/56615
ESAF - AFFC (STN)/STN/Tecnologia da Informação/Operação e Infraestrutura/2008
TI - Segurança da Informação - Política de Segurança da Informação
Segundo a norma ISO BS 17799, a definição das responsabilidades gerais e específicas no que se
refere à gestão da segurança da informação, compreendendo inclusive o registro dos incidentes de
segurança, deve ser estabelecida no(a)
a) Processo de restauração.
b) Política de segurança.
c) Análise de riscos.
d) Acordo de confidencialidade.
e) Auditoria de segurança.
www.tecconcursos.com.br/questoes/2701781
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2006
https://www.tecconcursos.com.br/questoes/56615
https://www.tecconcursos.com.br/questoes/2701781
111) 
TI - Segurança da Informação - Política de Segurança da Informação
Em uma das reuniões iniciais para a definição da Política de Segurança da Informação de uma
empresa, os participantes estão discutindo afirmativas que foram feitas.
 
I - A política deve, sempre que possível, indicar alguma forma de punição para aqueles que a
desrespeitarem ou, do contrário, ela simplesmente será ignorada. Por exemplo, as punições previstas
para o não-cumprimento da política devem respeitar as leis de contrato de trabalho da organização,
como a CLT, que prevê desde simples advertências até o desligamento por justa causa.
 
II - As pessoas, como ativos de informação, também possuem vulnerabilidades, entre as quais não
conhecer as normas, não saber os limites, não saber o que é confidencial ou não, entre muitas
outras. A política deve endereçar esse tipo de vulnerabilidade, diminuindo o risco de que ameaças
consigam explorar as vulnerabilidades das pessoas.
 
III - A política regula o comportamento sobre o uso da informação em diversos níveis e meios.
Sempre que for aplicável, ela deve apontar o responsável pela informação e a forma correta de uso,
podendo estabelecer, por exemplo, que o sistema de correio eletrônico deve ser utilizado
exclusivamente para fins profissionais relacionados com a empresa em questão.
 
IV - A classificação dos ativos de informação é uma etapa importante no processo de garantia de
segurança da informação. Classificar envolve, por exemplo, inventariar, definir o grau de relevância e
identificar esses ativos de informação. Esse processo, além de estruturar e permitir uma gestão mais
eficiente dos ativos, contribui significativamente para a análise e tratamento de riscos de segurança
da informação.
 
Com base nos aspectos relacionados à Política de Segurança da Informação em uma empresa estão
corretos apenas os conjuntos de afirmativas:
112) 
a) I e III.
b) II e III.
c) I, II e IV.
d) II, III e IV.
e) I, II, III e IV.
www.tecconcursos.com.br/questoes/12934
FCC - Ana (BACEN)/BACEN/Tecnologia da Informação/Suporte à Infraestrutura de TI/2006
TI - Segurança da Informação - Política de Segurança da Informação
O cumprimento de uma política de segurança, pelos usuários de uma organização, deve ser
garantido pela aplicação formal de
a) conscientização e treinamento.
b) sanções e penalidade.
c) termo de compromisso.
d) mecanismo de controle de acesso.
e) assinatura digital.
www.tecconcursos.com.br/questoes/2695476
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
https://www.tecconcursos.com.br/questoes/12934
https://www.tecconcursos.com.br/questoes/2695476
113) 
114) 
Como parte do gerenciamento de usuários, na NBR ISO 27002:2013, é recomendado o
estabelecimento de controles para assegurar acesso de usuário autorizado e para prevenir acesso não
autorizado a sistemas e serviços. Dentre esses controles, está o gerenciamento de
a) mudança e capacidade
b) direitos de acesso privilegiado
c) cópias de segurança das informações
d) mudanças em pacotes de software
e) mudanças para serviços com fornecedores
www.tecconcursos.com.br/questoes/2690869
CESGRANRIO - PTNM (TRANSPETRO)/TRANSPETRO/Informática/2023
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A norma ABNT NBR ISO/IEC 27002 é uma norma internacional, traduzida no Brasil, a qual fornece
diretrizes para a gestão de segurança da informação. Segundo essa norma, qual é o propósito da
segregação de funções?
a) Assegurar a adequação contínua da direção de gestão e suporte à segurança da informação de
acordo com vários tipos de requisitos.
b) Assegurar o fluxo adequado de informações referentes à segurança de informação.
c) Conscientizar os funcionários sobre as ameaças à segurança de informação da organização.
d) Estabelecer uma estrutura definida e aprovada para a gestão de segurança dentro da organização.
e) Reduzir o risco de fraude, erro e desvio de controles de segurança da informação.
www.tecconcursos.com.br/questoes/2695303
https://www.tecconcursos.com.br/questoes/2690869
https://www.tecconcursos.com.br/questoes/2695303
115) 
116) 
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Processos de
Negócios/2023
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
As organizações podem usar a Norma ABNT ISO 27002 como uma referência para a seleção de
controles dentro do processo de um SGSI (Sistema de Gestão de Segurança da Informação). Conforme
definido nessa norma, assegurar que as informações e os recursos de processamento da informação
estejam protegidos contra malware é um dos objetivos listados para o contexto da segurança
a) nas operações
b) nas comunicações
c) em recursos humanos
d) no controle de acesso
e) física e do ambiente
www.tecconcursos.com.br/questoes/2695477
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise deSistemas/Segurança
Cibernética e da Informação/2023
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Na NBR ISO 27002:2013, são listados controles e objetivos de controles que devem ser aplicados
de forma alinhada com o tratamento de riscos de segurança da informação. Um desses controles visa
assegurar que a segurança da informação está implementada e é operada de acordo com as políticas e
com os procedimentos da organização. O objetivo descrito é o do controle de
a) análise crítica da segurança da informação
https://www.tecconcursos.com.br/questoes/2695477
117) 
b) gerenciamento da segurança em redes
c) gestão de incidentes de segurança da informação e melhorias
d) segurança da informação na cadeia de suprimento
e) segurança em processos de desenvolvimento e de suporte
www.tecconcursos.com.br/questoes/2041478
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
As empresas buscam cada vez mais estar em conformidade com as normas de segurança da
informação. Existe, por exemplo, uma Norma ABNT NBR ISO/IEC que é projetada para as organizações
usarem como uma referência na seleção de controles dentro do processo de implementação de um
Sistema de Gestão da Segurança da Informação (SGSI) ou como um documento de orientação para as
organizações implementarem controles de segurança da informação comumente aceitos.
 
A Norma mencionada é a
a) 27001
b) 27002
c) 27004
d) 27005
e) 27018
www.tecconcursos.com.br/questoes/2010731
https://www.tecconcursos.com.br/questoes/2041478
https://www.tecconcursos.com.br/questoes/2010731
118) 
Instituto AOCP - Tec Ban III (BANESE)/BANESE/Informática/Desenvolvimento/2022
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Com a pandemia da Covid-19, o trabalho remoto se tornou uma alternativa para que as
organizações não parassem de oferecer serviços aos seus clientes e usuários. Assim, diretrizes de
segurança da informação devem ser respeitadas quando o trabalho remoto é amplamente utilizado pelas
organizações. A ISO/IEC 27002 regula o trabalho remoto e a proteção de dados. Sabendo disso, assinale
a alternativa que apresenta corretamente quatro das diretrizes de segurança da informação para o
trabalho remoto.
a) A avaliação dos riscos de segurança da informação deve ser conduzida em estágios iniciais do
projeto para identificar os controles que são necessários. Ampliar o conhecimento sobre as melhores
práticas e manter-se atualizado com as informações relevantes sobre segurança da informação.
Acesso a equipamentos de propriedade particular (para verificar a segurança da máquina ou durante
uma investigação), o qual pode ser restringido por lei. Provisão de equipamento de comunicação
apropriado, incluindo métodos para acesso remoto seguro.
b) Definir as responsabilidades dos funcionários ou partes externas pelo tratamento da informação
recebida de outras companhias ou partes interessadas. Cumprir com os termos e as condições de
trabalho, que incluam a política de segurança da informação da organização e métodos apropriados
de trabalho. Declaração do comprometimento da direção com a segurança da informação em toda a
organização. Assegurar que os ativos são adequadamente classificados e protegidos.
c) Restrições de acesso para apoiar os requisitos de proteção para cada nível de classificação.
Manutenção de um registro formal dos destinatários de ativos autorizados. Registro do descarte de
itens sensíveis, sempre que possível, para se manter uma trilha de auditoria. Meio de transporte ou
serviço de mensageiros confiáveis.
d) Estabelecer procedimento para a verificação da identificação dos transportadores. Remoção de
direitos de acesso. Redes e serviços de redes que são permitidos para serem acessados. Atribuir e
permitir, ou revogar, um ID de um usuário.
119) 
e) Segurança física existente no local do trabalho remoto, levando-se em consideração a segurança
do ambiente local. Políticas e procedimentos para prevenir disputas relativas a direitos de propriedade
intelectual desenvolvidas em equipamentos de propriedade particular. Requisitos de firewall e
proteção antivírus. Uso de redes domésticas e requisitos ou restrições na configuração de serviços de
rede sem fio.
www.tecconcursos.com.br/questoes/2010889
Instituto AOCP - Tec Ban III (BANESE)/BANESE/Informática/Suporte/2022
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A ISO/IEC 27002 estabelece requisitos de segurança que podem ser utilizados por uma
organização. Dentro da norma, esses requisitos são chamados
a) controles.
b) ferramentas.
c) cadeados.
d) barreiras.
e) fatores.
www.tecconcursos.com.br/questoes/635873
FGV - Ana TI (BANESTES)/BANESTES/Desenvolvimento de Sistemas/2018
https://www.tecconcursos.com.br/questoes/2010889
https://www.tecconcursos.com.br/questoes/635873
120) 
121) 
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Dentro de uma política de desenvolvimento seguro, a norma ABNT NBR ISO/IEC 27002:2013
recomenda que:
a) os aspectos de segurança sejam observados principalmente na fase de programação;
b) o desenvolvimento de software seja sempre executado por equipes internas;
c) todas as conexões não autenticadas devam ser criptografadas;
d) seja levada em consideração a segurança no controle de versões;
e) sejam previstos dois roteiros, um com foco em desenvolvimento e outro com foco em
manutenção.
www.tecconcursos.com.br/questoes/619548
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2018
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A norma ISO 27002 estabelece que o objetivo da classificação das informações (atribuição de grau
de confidencialidade) é a garantia de que os ativos de informação receberão um nível de proteção
adequado. Ainda segundo a norma, as informações devem ser classificadas para indicar a necessidade,
as prioridades e o grau de proteção.
Com base nesse objetivo, a norma estabelece diretrizes para essa classificação, entre as quais se inclui a
de
a) atribuir o processo de revisão do nível de confidencialidade de um documento à alta gerência.
https://www.tecconcursos.com.br/questoes/619548
122) 
b) manter a responsabilidade pela atribuição do nível de confidencialidade de um documento com o
setor de TI.
c) manter os rótulos de classificação originais nos documentos oriundos de outras organizações.
d) manter o princípio de equidade que garante aos funcionários com funções similares o mesmo
direito de acesso às informações classificadas.
e) rotular as informações e as saídas geradas pelos sistemas que tratam dados confidenciais,
segundo seu valor e sensibilidade para a organização. 
www.tecconcursos.com.br/questoes/835982
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Analista de
Sistemas/2018
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Para a segurança da informação, é importante formular uma política com relação ao uso de redes e
serviços de rede. De acordo com a NBR ISO/IEC 27002, os usuários devem receber acesso
a) irrestrito às redes e restrito aos serviços de rede que tenham sido especificamente autorizados a
usar.
b) irrestrito aos serviços de rede e restrito às redes que tenham sido especificamente autorizados a
usar.
c) restrito às redes e aos serviços de rede que tenham sido especificamente autorizados a usar.
https://www.tecconcursos.com.br/questoes/835982
123) 
124) 
d) irrestrito às redes e aos serviços de rede de toda a empresa, e restrito às redes e aos serviços de
rede externos.
e) irrestrito às redes e aosserviços de rede de toda a empresa, e às redes e aos serviços de rede
externos.
www.tecconcursos.com.br/questoes/97805
ESAF - AFFC (STN)/STN/Tecnologia da Informação/Operação e Infraestrutura/2013
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Na NBR ISO/IEC 27002:2005, com relação ao tempo de duração de um Acordo de
Confidencialidade, tem-se que:
a) obrigatoriamente dura 1 ano.
b) não pode durar menos que 5 anos.
c) não pode durar menos que 10 anos.
d) obrigatoriamente dura mais que 3 anos.
e) pode durar indefinidamente.
www.tecconcursos.com.br/questoes/2407615
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Análise de
Sistemas/2013
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Para minimizar o risco de corrupção aos sistemas operacionais, a norma NBR ABNT ISO/IEC 27.002
recomenda algumas diretrizes para controlar mudanças nesse tipo de software.
https://www.tecconcursos.com.br/questoes/97805
https://www.tecconcursos.com.br/questoes/2407615
125) 
 
Qual recomendação NÃO está em acordo com a referida norma?
a) A atualização do sistema operacional, de aplicativos e de bibliotecas de programas deve ser
executada somente por administradores treinados e com autorização gerencial.
b) Os sistemas operacionais devem conter somente código executável e aprovado, não devendo
conter códigos em desenvolvimento.
c) Os sistemas operacionais e aplicativos somente devem ser implantados após testes extensivos e
bem-sucedidos.
d) Um sistema de controle de configuração deve ser utilizado para manter controle da implantação
do software assim como da documentação do sistema.
e) Todas as versões anteriores do software devem ser desinstaladas e suas mídias originais,
descartadas.
www.tecconcursos.com.br/questoes/2672022
CESGRANRIO - Ana (Innova)/Innova/Sistemas/2012
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A direção de uma empresa liderou os estudos sobre diversas medidas para melhorar a gestão de
segurança da informação em conformidade com a norma ISO 270002:2005. Dentre suas preocupações,
ressaltou a vulnerabilidade dos softwares e das instalações de processamento de informações à
introdução de software malicioso, tais como vírus de computador, network worms, cavalos de Troia e
bombas lógicas.
 
A direção, então, determinou que o supervisor da área de informática sugerisse medidas de proteção
contra software malicioso que refletissem essa preocupação, incluindo a possibilidade de implementação
https://www.tecconcursos.com.br/questoes/2672022
126) 
de controles para detecção e prevenção contra softwares maliciosos e procedimentos apropriados de
conscientização dos usuários. De posse dessas informações, o supervisor deverá escudar- se na norma
ISO 27002:2005, seção de
a) Controle de Acessos
b) Segurança Relacionada ao Pessoal
c) Segurança Física e do Ambiente
d) Desenvolvimento e Manutenção de Sistemas
e) Gerenciamento de Comunicações e Operações
www.tecconcursos.com.br/questoes/2331639
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Análise de
Sistemas/2012
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A NBR ISO/IEC 27002 define controles que são considerados princípios básicos para a gestão da
segurança da informação. Tais controles são baseados em requisitos legais e nas melhores práticas de
segurança da informação.
 
Os controles a seguir são considerados práticas para a segurança da informação, EXCETO a
a) gestão de vulnerabilidades técnicas
b) gestão da continuidade do negócio
c) proteção de registros organizacionais
d) atribuição de responsabilidades para a segurança da informação
e) conscientização, educação e treinamento em segurança da informação
https://www.tecconcursos.com.br/questoes/2331639
127) 
www.tecconcursos.com.br/questoes/1362998
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2011
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Segundo a Norma ISO 27002:2005, convém que a proteção contra códigos maliciosos seja
baseada em softwares de detecção de códigos maliciosos e reparo, na conscientização da segurança da
informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças. Para isso,
essa norma prescreve que várias diretrizes sejam consideradas, sendo uma delas
a) estabelecer uma política formal para proteção contra os riscos associados com a importação de
arquivos e softwares, sejam de redes externas, ou de qualquer outro meio, indicando quais medidas
preventivas devem ser adotadas.
b) estabelecer uma política formal de busca e apreensão do software utilizado sem a licença
apropriada.
c) conduzir análises críticas regulares dos softwares e dados dos sistemas que suportam processos
críticos de negócio; convém que quaisquer arquivos não aprovados ou com atualização não
autorizada sejam formalmente descartados.
d) auditar, inopinadamente, a existência de códigos maliciosos nos arquivos em mídias eletrônicas,
bem como nos arquivos transmitidos através de redes.
e) verificar, in loco, nos computadores pessoais e nos servidores de correio eletrônico, logo depois da
sua instalação, a existência de software malicioso em qualquer arquivo recebido através de correio
eletrônico ou importado (download).
https://www.tecconcursos.com.br/questoes/1362998
128) 
www.tecconcursos.com.br/questoes/1363054
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2011
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
É conveniente o uso de técnicas de criptografia para proteger a confidencialidade, a integridade e a
autenticidade das informações.
 
PORQUE
 
Técnicas de chaves públicas proporcionam método seguro de autenticação.
 
Analisando-se as afirmações acima à luz da NBR/ISO 27002, conclui-se que
a) as duas afirmações são verdadeiras, e a segunda justifica a primeira.
b) as duas afirmações são verdadeiras, e a segunda não justifica a primeira.
c) a primeira afirmação é verdadeira, e a segunda é falsa.
d) a primeira afirmação é falsa, e a segunda é verdadeira.
e) as duas afirmações são falsas.
www.tecconcursos.com.br/questoes/1370981
https://www.tecconcursos.com.br/questoes/1363054
https://www.tecconcursos.com.br/questoes/1370981
129) 
130) 
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2011
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Segundo a norma ISO 27002:2005, definir, alcançar, manter e melhorar são ações essenciais a
serem tomadas na empresa pela
a) logística de TI
b) supervisão geral
c) gerência financeira
d) gestão de segurança
e) diretoria de recursos humanos
www.tecconcursos.com.br/questoes/1362911
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2011
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
De acordo com a NBR/ISO 27002, um sistema de gerenciamento de chaves deve basear-se em um
conjunto estabelecido de normas, procedimentos e métodos de segurança para
a) gerar chaves para diferentes sistemas criptográficos e diferentes aplicações.
https://www.tecconcursos.com.br/questoes/1362911
131) 
b) evitar quebra de segurança, coibindo a manutenção de registros das atividades relacionadas com
o gerenciamento de chaves.
c) evitar o uso de sistemas simétricos, por utilizarem apenas uma chave.
d) destruir chaves perdidas ou corrompidas, como parte da gestão da continuidade do negócio, para
evitar a recuperação de informações cifradas.
e) manter registros das chaves públicas geradas pelos usuários e estabelecer a política de geração
dessas chaves.
www.tecconcursos.com.br/questoes/1363055CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2011
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
As NBR/ISO 27002 prescrevem que, para identificar os requisitos para os acordos de
confidencialidade ou de não divulgação, convém considerar diversos elementos, entre os quais NÃO
consta(m)
a) tempo de duração esperado de um acordo, incluindo situações onde a confidencialidade tenha que
ser mantida.
b) proprietário da informação, de segredos comerciais e de propriedade intelectual, e como isso se
relaciona com a proteção da informação confidencial.
c) penalidades previstas para o infrator das cláusulas acordadas.
https://www.tecconcursos.com.br/questoes/1363055
132) 
d) ações requeridas de ambas as partes para homologar a rescisão de contratos.
e) termos para a informação ser retornada ou destruída quando da suspensão do acordo.
www.tecconcursos.com.br/questoes/1390142
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A NBR/ISO 27002 apresenta termos e suas definições pertinentes à segurança da informação.
Relacione as definições da coluna da esquerda com os termos da coluna da direita.
 
Definições Termos
I – Combinação da
probabilidade
de um evento e de
suas
consequências.
P – Política
II – Causa potencial
de um incidente
indesejado, que
pode resultar
em dano para um
sistema
ou uma organização.
Q – Ameaça
III – Intenções e
diretrizes globais
formalmente
expressas pela
R – Risco
https://www.tecconcursos.com.br/questoes/1390142
direção.
IV – Atividades
coordenadas para
direcionar e
controlar uma
organização
no que se refere a
riscos.
 
 
Estão corretas as associações:
a) I – Q , II – R , IV – P
b) I – R , II – Q , III – P
c) II – Q , III – P , IV – R
d) I – R , II – Q , IV – P
e) II – R , III – P , IV – Q
www.tecconcursos.com.br/questoes/1389494
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
https://www.tecconcursos.com.br/questoes/1389494
133) A NBR/ISO 27002, em Gestão de Ativos, prescreve o seguinte controle para a Classificação da
Informação: “Convém que a informação seja classificada em termos do seu valor, requisitos legais,
sensibilidade e criticidade para a organização.” Para implementação desse controle, a Norma recomenda,
entre outras, a seguinte diretriz:
a) convém que sejam identificadas, documentadas e implementadas regras para que seja permitido
o uso de informações e de ativos associados aos recursos de processamento da informação.
b) convém que o proprietário do ativo informação seja responsável por assegurar que as informações
e os ativos associados com os recursos de processamento da informação estejam adequadamente
classificados.
c) convém que acordos com outras organizações, que incluam o compartilhamento de informações,
considerem procedimentos para identificar a classificação daquela informação e para interpretar os
rótulos de classificação de outras organizações.
d) convém que sejam definidos, para cada nível de classificação, procedimentos para o tratamento
da informação que contemplem o processamento seguro, a armazenagem, a transmissão, a
reclassificação e a sua destruição.
e) convém que a classificação da informação e seus respectivos controles de proteção levem em
consideração as necessidades de compartilhamento ou restrição de informações e os respectivos
impactos nos negócios associados com tais necessidades.
www.tecconcursos.com.br/questoes/1396872
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2010
https://www.tecconcursos.com.br/questoes/1396872
134) 
135) 
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
As Normas ISO são um conjunto de regras internacionais que auxiliam as empresas na gestão
qualitativa de seus negócios. Para uma empresa se enquadrar dentro da Norma ISO 27002:2005, é
preciso um amplo plano de segurança das informações. Um dos requisitos desta Norma é que as
atividades essenciais de segurança assegurem, entre outras premissas para a obtenção da certificação
ISO, a
a) idoneidade.
b) competitividade.
c) flexibilidade.
d) austeridade.
e) maturidade.
www.tecconcursos.com.br/questoes/1552158
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Durante um treinamento sobre a NBR/ISO 27002:2005, um palestrante fez as afirmativas, a
respeito das orientações descritas na norma, apresentadas a seguir.
 
https://www.tecconcursos.com.br/questoes/1552158
I - A Norma define uma série de indicadores chaves de desempenho, relacionados à segurança, que
devem ser avaliados e utilizados para melhoria dos processos.
 
II - Convém que, adicionalmente à notificação de eventos de segurança da informação e
fragilidades, o monitoramento de sistemas, alertas e vulnerabilidades seja utilizado para a detecção
de incidentes de segurança da informação.
 
III - Convém que os usuários sejam alertados para usar diferentes senhas de qualidade para cada
um dos serviços, caso necessitem acessar múltiplos serviços, sistemas ou plataformas, e sejam
requeridos para manter separadamente múltiplas senhas, já que o usuário estará assegurado de que
um razoável nível de proteção foi estabelecido para o armazenamento da senha em cada serviço,
sistema ou plataforma.
 
Está(ão) correta(s) a(s) afirmativas(s)
a) I, apenas.
b) II, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
www.tecconcursos.com.br/questoes/1390344
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
https://www.tecconcursos.com.br/questoes/1390344
136) 
137) 
De acordo com a NBR/ISO 27002, Segurança da Informação é a proteção da informação de vários
tipos de ameaças para
a) garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.
b) garantir a continuidade do negócio, minimizar as vulnerabilidades dos ativos de segurança,
maximizar o retorno sobre os investimentos e as oportunidades de negócio.
c) garantir a continuidade do negócio, facilitar o controle de acesso, maximizar o retorno sobre os
investimentos e maximizar a disponibilidade dos sistemas de segurança.
d) facilitar o controle de acesso, minimizar o risco ao negócio, maximizar a disponibilidade dos
sistemas de segurança e as oportunidades de negócio.
e) minimizar as vulnerabilidades dos ativos de segurança, minimizar o risco ao negócio, maximizar o
retorno sobre os investimentos e a disponibilidade dos sistemas de segurança.
www.tecconcursos.com.br/questoes/1390355
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Segundo a NBR/ISO 27002, adotar certo número de controles pode ser considerado um bom ponto
de partida para a implementação da segurança da informação. Esses controles se baseiam tanto em
requisitos legais como nas melhores práticas de segurança da informação normalmente usadas.
 
https://www.tecconcursos.com.br/questoes/1390355
Relacione a lista de controles às respectivas categorias.
 
I - Controle com
base
em requisitos legais
P - Proteção dos
dados e
privacidade de
informações
pessoais
II - Controle com
base
nas melhores
práticas
de segurança da
informação
Q - Documento da
política da
segurança da
informação
 
R - Atribuição de
responsabilidade
para a segurança
da informação
 
S- Direito de
propriedade
intelectual
 
T - Gestão de
vulnerabilidades
técnicas
 
U - Proteção de
registros
organizacionais
 
Estão corretas as associações
a) I com P, R e S - II com Q, T e U
138) 
b) I com Q, S e U - II com P, R e T
c) I com P, S e U - II com Q, R e T
d) I com Q, T e U - II com P, R e S
e) I com P, R e T - II com Q, S e U
www.tecconcursos.com.br/questoes/1559882
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
É essencial que uma organização identifique os seus requisitos de segurança da informação. De
acordo com as normas ISO 27002, uma das três fontes principais desses requisitos é a(o)
a) entrevista com o gerente de segurança e o correspondente levantamento de especificações de
segurança.
b) avaliação/auditoria sobre segurança criptográfica, realizada periodicamente.
c) cláusula contratual sobre o item segurança da informação negociada com o provedor de serviço
que atende à organização.
d) análise/avaliação de riscos para a organização, levando- se em conta os objetivos e as estratégias
globais de negócio da organização.
e) plano de contingência da organização.
www.tecconcursos.com.br/questoes/1559872
https://www.tecconcursos.com.br/questoes/1559882
https://www.tecconcursos.com.br/questoes/1559872
139) 
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A política de segurança de uma empresa deve conter diretrizes para a realização de cópias de
segurança das informações. As normas ISO 27002 orientam a construção dessas diretrizes. Nesse
contexto, nas instruções para prover segurança na geração das cópias de segurança, devem estar
incluídos procedimentos para
a) garantir a recuperação de toda informação essencial, após um desastre ou a falha de uma mídia,
disponibilizando recursos adequados para a geração de cópias de segurança.
b) prever a ativação manual dos mecanismos de cópias de segurança, evitando a impossibilidade de
geração e recuperação das cópias de segurança.
c) sugerir, sempre que for necessário, a adoção da criptografia forte, disponibilizando garantia de
legitimidade das cópias de segurança.
d) determinar a desativação dos sistemas de segurança interna, evitando interferências e pausas
durante o processo de geração das cópias.
e) isolar os equipamentos de backup da Internet e dos sistemas corporativos internos, evitando
vazamento de informações durante o processo de geração de cópias.
www.tecconcursos.com.br/questoes/1559877
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
https://www.tecconcursos.com.br/questoes/1559877
140) Considere os conceitos a seguir no contexto das normas ISO 27002 sobre Segurança da
Informação.
 
I - Diretriz é a descrição que determina o que deve ser feito para se alcançarem os objetivos
estabelecidos nas políticas.
 
II - Evento de segurança da informação é a ocorrência identificada de um sistema, um serviço ou
uma rede que indica uma possível violação da política de segurança da informação ou falha de
controles.
 
III - Risco é a soma das probabilidades de um evento e de suas consequências.
 
IV - Vulnerabilidade é a fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma
ou mais ameaças.
 
Estão corretos APENAS os conceitos
a) I e II.
b) I e III.
c) I e IV.
d) II e III.
e) II e IV.
www.tecconcursos.com.br/questoes/1559878
https://www.tecconcursos.com.br/questoes/1559878
141) 
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Segundo a Norma ISO 27002, os controles criptográficos têm por objetivo proteger a
confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos. Para
alcançar esse objetivo, a norma ISO 27002 sugere que se desenvolva uma política para o uso dos
controles criptográficos e que se implante um sistema de gerenciamento de chaves. Entre as inúmeras
ações adequadas para fazer parte desse processo, devem ser incluídas ações para
a) identificar o nível requerido de proteção com base em uma análise/avaliação de riscos, levando
em consideração o tipo, a força e a qualidade do algoritmo de criptografia requerido.
b) usar a criptografia para a proteção de informações sensíveis transportadas em mídias removíveis,
dispositivos ou linhas de comunicação, exceto celulares, responsabilidade das operadoras de
telefonia.
c) adotar um sistema criptográfico assimétrico e regular a distribuição das suas chaves por meio de
um sistema criptográfico simétrico.
d) facilitar a recuperação de dados e a atualização dos programas, mantendo, sempre que possível,
as bibliotecas dos programas-fonte no mesmo ambiente dos sistemas operacionais.
e) usar protocolos de comunicação de dados que obriguem a identificação do remetente, evitando o
uso anônimo do sistema.
www.tecconcursos.com.br/questoes/1389493
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2010
https://www.tecconcursos.com.br/questoes/1389493
142) 
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A NBR/ISO 27002 apresenta termos e suas definições pertinentes à segurança da informação.
Relacione as definições da coluna da esquerda com os termos da coluna da direita.
 
Definições Termo
I – Combinação da
probabilidade
de um evento e de
suas
consequências.
P – Política
II – Causa potencial
de um incidente
indesejado, que
pode resultar
em dano para um
sistema
ou uma organização.
Q – Ameaça
III – Intenções e
diretrizes globais
formalmente
expressas pela
direção.
R – Risco
IV – Atividades
coordenadas para
direcionar e
controlar uma
organização
no que se refere a
riscos.
 
143) 
 
Estão corretas as associações
a) I – Q, II – R, IV – P
b) I – R, II – Q, III – P
c) I – R, II – Q, IV – P
d) II – Q, III – P, IV – R
e) II – R, III – P, IV – Q
www.tecconcursos.com.br/questoes/1549366
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Engenharia de
Software/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A experiência tem mostrado que há fatores críticos para o sucesso da implementação da segurança
da informação dentro de uma organização; dentre eles, a norma ISO 27002 destaca:
a) utilização de assinaturas digitais nos documentos gerenciais e estabelecimento de um processo
restrito de gestão de incidentes de segurança da informação.
b) distribuição de chaves e restrição da divulgação da política de segurança ao nível gerencial.
c) provisão de conscientização e aquisição e instalação de um sistema de detecção de intrusão
eficiente.
https://www.tecconcursos.com.br/questoes/1549366
144) 
d) política de segurança da informação, objetivos e atividades que reflitam os objetivos do negócio e
provisão de recursos financeiros para as atividades da gestão de segurança da informação.
e) abordagem e estrutura para implementação, manutenção, monitoramento e melhoria da
segurança da informação independente da cultura organizacional e apoio de todos os níveis
gerenciais.
www.tecconcursos.com.br/questoes/1390135
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A categoria Gerenciamento da segurança de redes, segundo a Norma ISO 27002:2005, inclui dois
controles: Controle de redes e Segurança dos serviços de redes. Nas diretrizes para implantação do
Controle de redes, devem-se estabelecera) definições da segurança necessária para serviços específicos, como características de segurança,
níveis de serviço e requisitos de gerenciamento.
b) responsabilidades operacionais pelas redes, em conjunto com a operação dos recursos
computacionais.
c) responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos, incluindo
equipamentos em áreas de usuários.
d) tecnologias aplicadas para segurança de serviços de redes, como autenticação, encriptação e
controles de conexões de rede.
e) condições para recolhimento e destruição das mídias com segurança comprometida.
https://www.tecconcursos.com.br/questoes/1390135
145) 
www.tecconcursos.com.br/questoes/1390346
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Segundo a NBR/ISO 27002, o objetivo da proteção contra códigos maliciosos e códigos móveis é
proteger a
a) irretratabilidade da informação.
b) integridade do software e da informação.
c) disponibilidade da informação.
d) confidencialidade do software e da informação.
e) autenticidade da informação.
www.tecconcursos.com.br/questoes/1390357
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
https://www.tecconcursos.com.br/questoes/1390346
https://www.tecconcursos.com.br/questoes/1390357
146) 
147) 
A empresa Consultores Financeiros, em conformidade com o prescrito na NBR/ISO 27002, realiza,
periodicamente, a análise crítica da Política de Segurança da Informação da empresa. A Norma sugere
que as entradas para a análise crítica pela direção incluam diversas informações, entre elas,
a) tendências relacionadas com as ameaças e vulnerabilidades.
b) declaração do comprometimento da direção com o processo.
c) estrutura existente para as atividades de Segurança da Informação.
d) ações relacionadas à melhoria dos controles.
e) decisões sobre a alocação de recursos para as atividades de Segurança da Informação.
www.tecconcursos.com.br/questoes/1552152
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2010
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Para a NBR/ISO 27002:2005, convém que a análise crítica da política de segurança da informação
leve em consideração os resultados da análise crítica pela direção.
 
Convém ainda que as saídas da análise crítica pela direção incluam quaisquer decisões e ações
relacionadas às melhorias:
 
I - do enfoque da organização para gerenciar a segurança da informação e seus processos.
 
II - dos controles e dos objetivos de controles.
https://www.tecconcursos.com.br/questoes/1552152
148) 
 
III - na alocação de recursos e/ou de responsabilidades.
 
Pela norma, deve(m) ser considerada(s) a(s) melhoria(s)
a) I, apenas.
b) II, apenas.
c) I e II, apenas.
d) II e III, apenas.
e) I, II e III.
www.tecconcursos.com.br/questoes/2706370
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos e
Negócio/2008
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
A norma NBR/ISO 27002 recomenda que os requisitos para controles de segurança para novos
sistemas de informação ou melhorias em sistemas existentes sejam especificados
a) no documento da política de segurança da informação da organização.
b) nos documentos de arquitetura de software dos sistemas.
c) nos manuais dos sistemas.
d) na política de controle de acesso.
e) nas especificações de requisitos de negócios dos sistemas.
https://www.tecconcursos.com.br/questoes/2706370
149) 
150) 
www.tecconcursos.com.br/questoes/2694229
CESGRANRIO - Prof Jun (BR)/BR/Análise de Sistemas/Infraestrutura/2008
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
Segundo a NBR 17.799, NÃO é uma diretriz para implementação de cópias de segurança de
informações o(a)
a) armazenamento das cópias de segurança em localidade remota.
b) teste das mídias utilizadas na cópia para garantir confiabilidade.
c) produção de registros completos e exatos das cópias de segurança.
d) verificação e testes regulares dos procedimentos de recuperação.
e) proteção por meio de encriptação em todas as situações.
www.tecconcursos.com.br/questoes/2694329
CESGRANRIO - Prof Jun (BR)/BR/Análise de Sistemas/Infraestrutura/2008
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
No âmbito da gestão da segurança da informação, qual o processo que coleta evidências de uso
dos recursos existentes com o objetivo de identificar entidades envolvidas em uma troca de informações?
a) Irretratabilidade.
b) Identificação.
c) Autorização.
https://www.tecconcursos.com.br/questoes/2694229
https://www.tecconcursos.com.br/questoes/2694329
151) 
152) 
d) Auditoria.
e) Autenticidade.
www.tecconcursos.com.br/questoes/2706368
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos e
Negócio/2008
TI - Segurança da Informação - Organização da Segurança da Informação (NBR ISO/IEC
27002 e NBR ISO/IEC 17799)
De acordo com a norma NBR/ISO 27002, protegem as informações da organização e informam aos
signatários das suas responsabilidades, para proteger, usar e divulgar a informação de maneira
responsável e autorizada, os(as)
a) acordos de confidencialidade e de não-divulgação.
b) contratos de não-repúdio e privacidade.
c) direitos autorais e industriais.
d) normas e políticas de segurança.
e) senhas e identidades digitais.
www.tecconcursos.com.br/questoes/2041454
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
Dentro de um processo de gerenciamento de ativos de uma empresa de TI, foi necessário obter o
percentual de inconsistências. Para isso, obteve-se do Relatório de Inventário e de Inconsistência, no
https://www.tecconcursos.com.br/questoes/2706368
https://www.tecconcursos.com.br/questoes/2041454
153) 
trimestre ativo, os seguintes dados: total de bens com informações inconsistentes apontados = 156
(cento e cinquenta e seis); total de ativos de informações conferidos = 240 (duzentos e quarenta).
 
O percentual de inconsistências no trimestre ativo foi de
a) 15%
b) 32%
c) 47%
d) 65%
e) 87%
www.tecconcursos.com.br/questoes/2041498
CESGRANRIO - PNS (ELETRONUCLEAR)/ELETRONUCLEAR/Analista de Sistemas/Gestão e
Governança de TIC/2022
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
Um dos principais objetivos da classificação das informações é estabelecer os níveis de proteção
apropriados para cada categoria. O processo de classificação da informação é um processo de decisão de
negócios e requer o papel ativo do setor gerencial da empresa.
 
A Norma ABNT NBR que estabelece as diretrizes para classificação, rotulação, tratamento e gestão da
informação, de acordo com sua sensibilidade e sua criticidade para a organização, visando ao
estabelecimento de níveis adequados de proteção, é a
a) 27033-1
b) 20000-1
c) 17090-1
d) 15504
https://www.tecconcursos.com.br/questoes/2041498
154) 
e) 16167
www.tecconcursos.com.br/questoes/638939
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Processos de
Negócios/2018
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
A classificação da informação visa a assegurar que a informação receba um nível adequado de
proteção.
O processo de classificação da informação é um processo
a) executado pelo coordenador de TI para determinar a melhor forma de armazenamento e quem
pode e quem não pode acessar uma informação.
b) executado por uma empresa externa especializadaem segurança da informação para determinar
quem pode e quem não pode acessar uma informação.
c) de decisão estratégica, e requer que o agente de segurança física determine o que pode e o que
não pode entrar e sair do ambiente da empresa.
d) de decisão estratégica, e requer que o profissional de segurança determine o que deve ser
classificado como confidencial, de uso interno ou público.
e) de decisão de negócios, e requer o papel ativo do setor gerencial da empresa para determinar o
que deve ser classificado como confidencial, de uso interno ou público.
www.tecconcursos.com.br/questoes/297284
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte à Comunicação e à
Rede/2013
https://www.tecconcursos.com.br/questoes/638939
https://www.tecconcursos.com.br/questoes/297284
155) 
156) 
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
De acordo com a Norma NBR ISO/IEC 27002, o objetivo da classificação da informação é
a) definir a que áreas de negócio a informação se destina.
b) definir em que áreas de negócio as informações são produzidas.
c) assegurar que a informação receba um nível adequado de proteção.
d) assegurar que a informação seja confiável.
e) assegurar que a informação adicione valor às atividades de uma organização.
www.tecconcursos.com.br/questoes/97806
ESAF - AFFC (STN)/STN/Tecnologia da Informação/Operação e Infraestrutura/2013
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
Na NBR ISO/IEC 27002:2005, afirma-se que convém que o responsável por assegurar que as
informações e os ativos associados com os recursos de processamento da informação estejam
adequadamente classificados seja o:
a) Auditor.
b) Gestor de Infraestrutura.
c) Proprietário do Ativo.
d) Gestor de Segurança da Informação.
e) Coordenador do Comitê de Segurança da Informação.
www.tecconcursos.com.br/questoes/2332044
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Desenvolvimento
de Aplicações/2012
https://www.tecconcursos.com.br/questoes/97806
https://www.tecconcursos.com.br/questoes/2332044
157) 
158) 
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
A ISO 27002 estabelece que é conveniente que a tarefa de definir a classificação de um ativo,
analisando-o criticamente a intervalos regulares, e assegurando que ele está atualizado e no nível
apropriado é de responsabilidade do
a) consumidor
b) gerente
c) diretor executivo
d) usuário do ativo
e) proprietário do ativo
www.tecconcursos.com.br/questoes/222489
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2012
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
Segundo a NBR ISO/IEC 27002, é conveniente que a informação seja classificada em termos de
a) autenticidade, confidencialidade, sensibilidade e integridade para a organização
b) autenticidade, valor, confidencialidade e criticidade para a organização
c) legibilidade, integridade, valor e requisitos legais para a organização
d) valor, requisitos legais, legibilidade e integridade para a organização
e) valor, requisitos legais, sensibilidade e criticidade para a organização
www.tecconcursos.com.br/questoes/24463
ESAF - Ana Tec (SUSEP)/SUSEP/Tecnologia da Informação/2010
https://www.tecconcursos.com.br/questoes/222489
https://www.tecconcursos.com.br/questoes/24463
159) 
160) 
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
Em segurança da informação, os agentes envolvidos em uma relação agente-ativo são:
a) Projetista, Custodiante, Patrocinador e Usuário.
b) Proponente, Custodiante, Controlador e Invasor.
c) Proprietário, Custodiante, Controlador e Usuário.
d) Planejador, Custodiante, Customizador e Usuário.
e) Proprietário, Customizador, Coordenador e Executor.
www.tecconcursos.com.br/questoes/27595
ESAF - Ana (CVM)/CVM/Tecnologia da Informação/Infraestrutura e Segurança da
Informação/2010
TI - Segurança da Informação - Gestão de Ativos e Classificação da Informação
Os agentes envolvidos em uma relação agente-ativo são:
a) Proponente, executor, controlador e usuário.
b) Proprietário, custodiante, executor e interessado.
c) Programador, analista de custos, analista de ameaças e usuário.
d) Proprietário, custodiante, controlador e usuário.
e) Proprietário, mediador, proponente e executor.
www.tecconcursos.com.br/questoes/2695480
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Segurança
Cibernética e da Informação/2023
https://www.tecconcursos.com.br/questoes/27595
https://www.tecconcursos.com.br/questoes/2695480
161) 
162) 
TI - Segurança da Informação - Segurança em Recursos Humanos (NBR ISO/IEC 27002 e
NBR ISO/IEC 17799)
Na NBR ISO 27002:2013, é recomendada a aplicação de controles para lidar com os recursos
humanos que, em geral, são o elo mais fraco da segurança da informação. Com relação à segurança em
recursos humanos, essa norma estabelece controles para serem aplicados
a) antes da contratação, apenas
b) durante a contratação, apenas
c) no encerramento e na mudança da contratação, apenas
d) durante a contratação e no encerramento e na mudança da contratação, apenas
e) antes da contratação, durante a contratação e no encerramento e na mudança da contratação
www.tecconcursos.com.br/questoes/1363057
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2011
TI - Segurança da Informação - Segurança em Recursos Humanos (NBR ISO/IEC 27002 e
NBR ISO/IEC 17799)
A seção Segurança em Recursos Humanos da Norma NBR/ISO 27002 preconiza ações mesmo
antes da contratação de funcionários. O objetivo declarado é “Assegurar que os funcionários,
fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e
reduzir o risco de roubo, fraude ou mau uso de recursos.”
 
Para isso, essa norma diz ser conveniente que
a) a direção reconheça, antecipadamente, como de sua exclusiva responsabilidade, a segurança
sobre a proteção dos ativos de informação contra acesso não autorizado, divulgação, modificação,
https://www.tecconcursos.com.br/questoes/1363057
163) 
destruição ou interferência.
b) a divulgação das regras de manipulação de informações sensíveis seja restrita aos candidatos a
cargos de chefia e a fornecedores que possam vir a utilizá-las.
c) as responsabilidades pela segurança da informação sejam atribuídas antes da contratação, de
forma adequada, nas descrições de cargos e nos termos e condições de contratação.
d) todos os candidatos a funcionários, fornecedores e terceiros, usuários dos recursos de
processamento da informação, assinem acordos de não exploração do conhecimento das fragilidades
institucionais frente às ameaças à segurança da informação.
e) todos os funcionários, fornecedores e terceiros que tenham acesso a informações sensíveis
assinem um termo de confidencialidade ou de não divulgação imediatamente após ser-lhes dado o
acesso aos recursos de processamento da informação.
www.tecconcursos.com.br/questoes/2706369
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos e
Negócio/2008
TI - Segurança da Informação - Segurança em Recursos Humanos (NBR ISO/IEC 27002 e
NBR ISO/IEC 17799)
Com o objetivo de “prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso
de informações em aplicações”, a norma NBR/ISO 27002 recomenda os controles apresentados a seguir,
EXCETO:
a) validação dos dados de entrada.
b) validação dos dados de saída.
c) controle do processamento interno.
d) integridade de mensagens.
https://www.tecconcursos.com.br/questoes/2706369
164) 
e) integridade referencial.
www.tecconcursos.com.br/questoes/2468509
FUNDATEC - Ana Sist (BRDE)/BRDE/Subárea Suporte/2023
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Referente à autenticação com múltiplos fatores (MFA), analise as assertivas abaixo, assinalando V,
se verdadeiras, ou F, se falsas.
 
( ) É mais segura do que a autenticaçãocom um único fator.
 
( ) É usada apenas para autenticar usuários em computadores desktop.
 
( ) Geralmente envolve o uso de apenas dois fatores de autenticação.
 
( ) Pode ser usada para autenticar usuários em serviços online, como e-mails e bancos online.
 
( ) Pode ser implementada usando software ou hardware especializado.
 
A ordem correta de preenchimento dos parênteses, de cima para baixo, é:
a) V – V – V – F – F.
b) V – V – F – V – V.
c) V – F – F – V – V.
d) F – F – F – V – F.
e) F – V – V – F – V.
https://www.tecconcursos.com.br/questoes/2468509
165) 
166) 
www.tecconcursos.com.br/questoes/638940
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Processos de
Negócios/2018
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
A Norma ISO 27002 define o código de prática para a gestão da segurança da informação.
Dentre as recomendações de segurança, o controle de acesso à rede recomenda implantar ações de
controle para que
a) concessão e uso de privilégios sejam restritos e controlados.
b) sistemas sensíveis tenham um ambiente computacional dedicado (isolado).
c) sessões inativas sejam encerradas após um período definido de inatividade.
d) métodos apropriados de autenticações sejam usados para controlar acesso de usuários remotos.
e) eventos de segurança da informação sejam relatados através dos canais apropriados da direção.
www.tecconcursos.com.br/questoes/690270
FAURGS - Tec TI (BANRISUL)/BANRISUL/Suporte a Infraestrutura de TI/Turno Diurno/2018
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O acesso aos recursos de um sistema operacional requer a autenticação do usuário. Essa
autenticação pode ser realizada por meio de senhas de acesso.
 
Entretanto, essa forma de autenticação pode sofrer ataques. Para tornar mais robusta a autenticação por
meio de senhas e reduzir a probabilidade de ataques bem sucedidos, a estratégia mais eficiente, entre as
apresentadas nas alternativas abaixo, é
https://www.tecconcursos.com.br/questoes/638940
https://www.tecconcursos.com.br/questoes/690270
167) 
a) permitir apenas ao administrador de TI o acesso às senhas, de maneira a possibilitar que os
usuários sejam auxiliados, caso as senhas sejam perdidas ou esquecidas.
b) evitar que os sistemas operacionais gerem senhas, automaticamente, para os usuários.
c) encorajar os usuários a não trocarem suas senhas, evitando que possam ser capturadas durante o
processo.
d) apenas cifrar as senhas armazenadas em arquivos de sistema operacional.
e) cifrar as senhas armazenadas em arquivos de sistema operacional e evitar que os usuários
internos e externos do sistema tenham acesso aos mesmos.
www.tecconcursos.com.br/questoes/690122
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O Gerenciamento de Acesso Privilegiado ou Privileged Account Management (PAM) tem-se tornado
um ponto muito importante nas grandes empresas de TI. Sobre a finalidade, as características e as
funcionalidades da gerência de privilégios, considere as afirmações abaixo.
 
I - Permite conceder o acesso privilegiado a um usuário quando necessário e retirá-lo após um
tempo predeterminado.
 
II - Permite criar uma trilha de auditoria de todos os comandos SSH que o usuário executou
enquanto estava no modo privilegiado.
 
III - Tenta mitigar exploits que realizam escalada de rivilégios em servidores/serviços da empresa.
https://www.tecconcursos.com.br/questoes/690122
168) 
 
Quais estão corretas?
a) Apenas I.
b) Apenas II.
c) Apenas III.
d) Apenas I e II.
e) I, II e III.
www.tecconcursos.com.br/questoes/638796
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de
Sistemas/Infraestrutura/2018
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
A norma NBR ISO/IEC 27002:2013 estabelece os controles de segurança que formam o código de
prática para a gestão da segurança da informação.
Um dos objetivos do controle de segurança física e do ambiente é
a) garantir a operação segura e correta dos recursos de processamento da informação.
b) manter a integridade e disponibilidade da informação e dos recursos de processamento de
informação.
c) impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da
organização.
d) garantir a proteção das informações em redes e a proteção da infraestrutura de suporte.
https://www.tecconcursos.com.br/questoes/638796
169) 
e) detectar atividades não autorizadas de processamento da informação.
www.tecconcursos.com.br/questoes/749397
FADESP - Tec Info (BANPARÁ)/BANPARÁ/Desenvolvimento de Sistema e Acompanhamento
de Projetos, Suporte e Banco de Dados/2018
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Um usuário com perfil de aluno entrou no sistema de controle acadêmico de uma universidade e
realizou as seguintes ações:
1. realizou o login e foi aceito pelo sistema;
2. solicitou a visualização das notas e conseguiu a listagem que pretendia;
3. solicitou o lançamento de notas e o sistema negou o acesso.
As três ações que o usuário realizou no sistema foram intermediadas por um sistema de controle de
acesso que efetuou, em cada passo, um procedimento específico. Esses procedimentos são
denominados, respectivamente, de
a) autorização, autenticação e autenticação.
b) autenticação, auditoria e autorização.
c) autorização, auditoria e autenticação.
d) autenticação, autorização e autorização.
e) auditoria, autorização e autenticação.
www.tecconcursos.com.br/questoes/370830
IDECAN - Ana Ban (BANDES)/BANDES/Tecnologia da Informação/Análise de Sistemas/2014
https://www.tecconcursos.com.br/questoes/749397
https://www.tecconcursos.com.br/questoes/370830
170) 
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Relacione adequadamente os modelos de controle de acesso, que foram desenvolvidos para
formalizar mecanismos, a fim de proteger a confidencialidade e a integridade de documentos
armazenados em um sistema de computação, às respectivas características.
1. Modelo Bell La Padula.
2. Modelo Biba.
3. Modelo Low-watermark.
4. Modelo Clark-Wilson.
5. Modelo Muralha da China.
( ) Os níveis de integridade nesse modelo indicam graus de fidelidade, ou precisão, de objetos e
usuários, em vez de níveis para determinar a confidencialidade.
( ) Concebido para ser usado no setor comercial, a fim de eliminar a possibilidade de conflitos de
interesse. Para conseguir isso, o modelo agrupa recursos em “classes de conflito de interesses”.
( ) Usuários com níveis de integridade mais altos podem ler objetos com níveis de integridade mais
baixos.
( ) Derivado do paradigma militar de segurança multinível que tem sido tradicionalmente utilizado
em organizações militares para classificação de documentos e autorização pessoal.
171) 
( ) Lida com sistemas que realizam transações, descrevendo mecanismos para assegurar que a
integridade de tais sistemas seja preservada ao longo da execução de uma transação.
A sequência está correta em
a) 5, 3, 1, 4, 2.
b) 4, 2, 5, 3, 1.
c) 2, 5, 3, 1, 4.
d) 3, 1, 4, 2, 5.
e) 1, 4, 2, 5, 3.
www.tecconcursos.com.br/questoes/2327027
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2014
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
A norma ISO 27002:2005, ao estabelecer regras para o controle de acesso, recomenda que o
responsável por essa área leve em conta vários aspectos relacionados à segurança.
 
Um técnico de informática, responsável por essa área, ao trabalhar em conformidade com essa norma,
deve
a) considerar as mudanças nas permissões de usuários que são iniciadas automaticamente pelo
sistema de informações e aquelas iniciadas por um administrador.
https://www.tecconcursos.com.br/questoes/2327027
172) 
b) reconhecer que todas as regras devemser sempre atendidas, não havendo regras condicionais
em contexto de segurança.
c) reconhecer que sempre há usuários especiais com privilégios que devem prevalecer por serem
exceções sobre a necessidade de segurança.
d) basear-se na premissa “tudo é geralmente permitido a menos que seja expressamente proibido”.
e) basear-se na premissa “tudo aquilo que é proibido pode ser permitido pelo gerente de operações”.
www.tecconcursos.com.br/questoes/200210
CESGRANRIO - Ana (FINEP)/FINEP/Tecnologia da Informação/Software/2014
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O acesso aos serviços bancários via Internet está sujeito a várias fases de controle. Um dos bancos
que disponibiliza esses serviços solicita, inicialmente, o número da agência e o da conta corrente. Numa
segunda etapa, exige uma senha. A partir daí, o cliente pode realizar apenas as transações às quais tem
acesso.
Os atributos de segurança que esse exemplo implementa, na sequência em que ocorrem são
a) autenticação, autorização e identificação
b) autenticação, identificação e autorização
c) autorização, identificação e autenticação
d) identificação, autenticação e autorização
e) identificação, autorização e autenticação
www.tecconcursos.com.br/questoes/286724
CESGRANRIO - AGC (EPE)/EPE/Tecnologia da Informação/2014
https://www.tecconcursos.com.br/questoes/200210
https://www.tecconcursos.com.br/questoes/286724
173) 
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O controle de acesso de um sistema de fluxo de informações universitárias segue o modelo de Bell-
LaPadula. Nesse sistema estão definidos os seguintes usuários e objetos e suas respectivas habilitações e
níveis de segurança em que US > S > C > NC:
 
Usuários (sujeito) Habilitações
Reitor Ultrassecreto (US)
Diretor acadêmico Secreto (S)
Coordenador de área Confidencial (C)
Coordenador de curso Confidencial (C)
Aluno Não classificado (NC)
Tipo de documento (objeto) Classificação
Relatório financeiro anual Ultrassecreto (US)
Autoavaliação acadêmica Secreto (S)
Memorando interno Confidencial (C)
Atas de grau dos alunos Não classificado (NC)
 
A operação NÃO permitida nesse sistema é:
a) Aluno escreve memorando interno para o coordenador de curso.
b) Coordenador de curso lê atas de grau dos alunos.
c) Coordenador de área lê autoavaliação acadêmica escrita por Diretor acadêmico.
d) Diretor acadêmico escreve relatório financeiro anual.
e) Reitor lê memorando interno escrito por aluno.
www.tecconcursos.com.br/questoes/297280
https://www.tecconcursos.com.br/questoes/297280
174) 
175) 
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte à Comunicação e à
Rede/2013
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Segundo a Norma NBR ISO/IEC 27002, um processo formal de gerenciamento de senha do usuário
deve
a) solicitar ao usuário a assinatura de uma declaração de compromisso de manutenção da
confidencialidade de sua senha pessoal e das senhas de grupos de trabalho.
b) garantir que senhas temporárias sejam difíceis de ser adivinhadas e sejam iguais para todos os
usuários eventuais.
c) assegurar que senhas padrão possam ser usadas enquanto não for necessário aumentar o nível de
segurança do sistema.
d) implementar um procedimento para que senhas temporárias sejam enviadas, de modo seguro,
para os endereços de e-mail fornecidos pelos usuários.
e) instruir o usuário a não acusar o recebimento de senhas.
www.tecconcursos.com.br/questoes/297330
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte à Comunicação e à
Rede/2013
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O processo de autenticação forte é baseado em dois ou mais fatores.
 
Exemplos de fatores relacionados a algo que o usuário possui são
a) senha pessoal e chave privada
b) senha pessoal e cartão inteligente
https://www.tecconcursos.com.br/questoes/297330
176) 
c) chave privada e cartão inteligente
d) modelo biométrico e token
e) modelo biométrico e lista TAN
www.tecconcursos.com.br/questoes/297387
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte Operacional/2013
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Uma empresa sabe que um de seus sistemas está ameaçado por invasores que utilizam programas
de busca de senhas por tentativa e erro, em que testam todas as senhas possíveis com geradores muito
rápidos. Sabe ainda que há informações sobre a composição da senha utilizada, porque um espião
interno vê as telas dos monitores e o sinalizador de uso de maiúsculas no momento em que os
funcionários digitam suas senhas. Nesse contexto, para proteção do acesso dos funcionários aos seus
sistemas, um projetista é solicitado a escolher um sistema de senhas que dificulte o trabalho dos
invasores.
Levando-se em conta os seguintes fatores: primeiro, os usuários solicitam, se possível, que o sistema
mostre com asteriscos a quantidade de caracteres já digitados; segundo, os invasores sabem que o
sistema usa senhas de tamanhos entre 6 e 8 caracteres; terceiro, as senhas utilizam apenas letras
maiúsculas ou minúsculas, constata- se que o processo que deverá gerar maior dificuldade para os
invasores é o de senhas com
a) 7 caracteres, utilizando letras maiúsculas, e mostrando os asteriscos.
b) 7 caracteres, utilizando letras maiúsculas, e sem mostrar os asteriscos.
c) 6 caracteres, utilizando letras maiúsculas, e mostrando os asteriscos.
d) 6 caracteres, utilizando e distinguindo letras maiúsculas e minúsculas, e mostrando os asteriscos.
e) 6 caracteres, utilizando e distinguindo letras maiúsculas e minúsculas, sem mostrar os asteriscos.
https://www.tecconcursos.com.br/questoes/297387
177) 
www.tecconcursos.com.br/questoes/222753
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Constantes interrupções de energia em determinada empresa levaram seus responsáveis a pensar
nos aspectos de segurança da informação que deveriam ser trabalhados. A esse respeito, a Norma ISO
27002:2005 diz que é conveniente que os equipamentos sejam protegidos contra falta de energia elétrica
e outras interrupções causadas por falhas das utilidades.
Para isso, essa norma prescreve as diretrizes para implementação listadas abaixo, EXCETO a seguinte:
a) Recomenda-se o uso de UPS para suportar as paradas e desligamento dos equipamentos ou para
manter o funcionamento contínuo dos equipamentos que suportam operações críticas dos negócios.
b) Convém que haja planos de contingência de energia referentes às providências a serem tomadas
em caso de falha do UPS.
c) Convém que os equipamentos UPS e os geradores sejam verificados em intervalos regulares para
assegurar que eles tenham capacidade adequada, e sejam testados de acordo com as
recomendações do fabricante.
d) Convém que esteja disponível um suprimento adequado de combustível para garantir a operação
prolongada do gerador.
e) Convém que as chaves de emergência para o desligamento da energia fiquem protegidas da ação
de vandalismo e longe das salas de equipamentos, para evitar o desligamento acidental por
funcionários não especializados.
www.tecconcursos.com.br/questoes/2672020
CESGRANRIO - Ana (Innova)/Innova/Sistemas/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
https://www.tecconcursos.com.br/questoes/222753
https://www.tecconcursos.com.br/questoes/2672020
178) 
179) 
A gerência de determinado laboratório resolveu limitar o acesso às suas dependências por meio de
portas com dispositivo de liberação a partir de uma característica física do usuário. Havia quatro tipos de
equipamentos com tecnologias de biometria no mercado, a saber: retina, impressão digital, assinatura e
íris. A primeira providência do gerente foi ordenar os tipos por seus potenciais de precisão intrínsecos, do
mais preciso para o menos preciso. Considerando-seo potencial intrínseco de cada tipo de tecnologia,
como essas quatro tecnologias seriam ordenadas, da mais precisa para a menos precisa?
a) Retina, impressão digital, assinatura e íris
b) Retina, íris, impressão digital e assinatura
c) Íris, retina, impressão digital e assinatura
d) Assinatura, retina, impressão digital e íris
e) Impressão digital, íris, retina e assinatura
www.tecconcursos.com.br/questoes/2672004
CESGRANRIO - Ana (Innova)/Innova/Sistemas/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Considerando as melhores práticas de segurança da informação, as informações devem ser
classificadas em relação ao grau de conformidade com os seus níveis de relevância para a empresa em
análise. Algumas dessas categorias são as seguintes: não classificadas, proprietárias, confidenciais da
empresa e confidenciais do cliente. Quais informações são exemplos dessas categorias, respectivamente?
a) Folhetos de marketing de produtos, senhas, planos de negócio e bases de dados para teste de
problemas de cliente
b) Home page do website da instituição, política de privacidade no uso da web da empresa,
relatórios contábeis e contrato de venda para o cliente
c) Relatórios contábeis, salários, código de programas vendidos ao cliente e plano de negócio com o
cliente
https://www.tecconcursos.com.br/questoes/2672004
180) 
d) Senhas, plano de negócio, salários da diretoria e suporte a sistemas críticos do cliente
e) Software livre, código desenvolvido na empresa, plano de negócio e contrato de venda para o
cliente
www.tecconcursos.com.br/questoes/352580
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de
Sistemas/Infraestrutura/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
A política de “mesa limpa” e de “tela limpa”, segundo a norma ISO 27002:2005, deve considerar
diversos procedimentos e controles, dentre os quais, o seguinte:
a) aparelhos de fax e telex devem utilizar tomadas padronizadas e intercambiáveis.
b) monitores devem ser blindados para atender aos requisitos da IEEE para emissões
eletromagnéticas.
c) relatórios e mídia eletrônica devem ser classificados de acordo com o nível de segurança dos tipos
de arquivo em que são armazenados.
d) computadores pessoais, terminais de computador e impressoras não devem ser deixados
“logados” quando não houver um operador (usuário) junto e devem ser protegidos por key locks,
senhas e outros controles quando não estiverem em uso.
e) fotocopiadoras devem ser trancadas em locais apropriados ao acondicionamento de artefatos que
envolvam o uso de produtos químicos, independente de seu grau de periculosidade.
www.tecconcursos.com.br/questoes/222487
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Processos de
Negócio/2012
https://www.tecconcursos.com.br/questoes/352580
https://www.tecconcursos.com.br/questoes/222487
181) 
182) 
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
A NBR ISO/IEC 27002, quando trata dos controles de entrada física, estabelece algumas diretrizes
para implementação, utilizando os seguintes termos: “convém que sejam levadas em consideração as
seguintes diretrizes”. Em seguida, lista as diretrizes as quais pretende que sejam levadas em
consideração.
Dentre essas diretrizes, NÃO há uma especificando que
a) a data e hora da entrada e saída de visitantes sejam registradas, e todos os visitantes sejam
supervisionados, a não ser que o seu acesso tenha sido previamente aprovado.
b) aos terceiros que realizam serviços de suporte, seja concedido acesso restrito às áreas seguras ou
às instalações de processamento da informação sensível somente quando necessário; este acesso
deve ser autorizado e monitorado.
c) o acesso às áreas em que são processadas ou armazenadas informações sensíveis seja controlado
e restrito às pessoas autorizadas.
d) os direitos de acesso a áreas seguras sejam revogados em intervalos regulares, levados em conta
os regulamentos e normas de saúde aplicáveis.
e) seja exigido que todos os funcionários, fornecedores e terceiros, e todos os visitantes, tenham
alguma forma visível de identificação.
www.tecconcursos.com.br/questoes/222759
CESGRANRIO - PPNT (PETROBRAS)/PETROBRAS/Informática/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O usuário de um sistema de e-commerce preencheu o seguinte cadastro (dados fictícios) para
realizar uma compra e foi informado que, ao escolher a senha, deveria escolher uma senha forte:
 
https://www.tecconcursos.com.br/questoes/222759
183) 
Nome: Josemir Miraflores Cascudo Leporace Identidade
123456-3
CPF 999.999.999-00 Data de
nascimento: 01/01/1948
Nome da mãe: Rosália da Silva Castro Nome do
pai: Aristides da Rocha Lopes
Endereço: Rua Getúlio Vargas s/n, Cidade da Luz, Estado Geral.
Login: _________ Senha:
_________
 
Nesse contexto e depois de estudar o que era uma senha forte, Josemir deve escolher uma senha, como
por exemplo:
a) 01011948
b) M!D1N0K#
c) JMC1948
d) 84911010
e) JMCLopes
www.tecconcursos.com.br/questoes/2338343
CESGRANRIO - Ana (CMB)/CMB/TI/Segurança da Informação/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O processo de autenticação de usuários é um método eficaz para proteger o acesso indevido de
pessoas a computadores, sistemas operacionais, softwares, redes e ambientes físicos. Um sistema que
utiliza um processo de forte autenticação deve verificar algo que o usuário sabe, algo que ele possui e
algo que ele é. Para acessar o sistema, nessa ordem de verificação, um usuário legítimo deve fornecer os
seguintes itens pessoais:
https://www.tecconcursos.com.br/questoes/2338343
184) 
185) 
a) senha pessoal, token com a chave pública e digital
b) senha pessoal, token com o certificado digital e digital
c) senha pessoal, token com a chave privada e digital
d) chave privada, token com a senha pessoal e certificado digital
e) chave pública, token com a senha pessoal e certificado digital
www.tecconcursos.com.br/questoes/349730
CESGRANRIO - Prof Jun (BR)/BR/Análise de Sistemas/Infraestrutura/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Alguns elementos são essenciais para a prática da segurança da informação, entre os quais, a
Autenticação, que é um processo para
a) coletar evidências de uso de recursos e identificar entidades envolvidas em troca de informações.
b) conceder permissões de acesso à informação e à funcionalidade de aplicações.
c) reconhecer formalmente e identificar os elementos que entram no processo de comunicação.
d) tratar de situações de não-repúdio, associando o emissor com a mensagem enviada.
e) verificar o valor legal de uma informação dentro de um processo de comunicação.
www.tecconcursos.com.br/questoes/2330580
CESGRANRIO - Prof Jr (LIQUIGÁS)/LIQUIGÁS/Tecnologia da Informação/Administração de
Banco de Dados/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Os mecanismos de segurança da informação proporcionam a implantação de diferentes tipos de
controle.
https://www.tecconcursos.com.br/questoes/349730
https://www.tecconcursos.com.br/questoes/2330580
186) 
 
Honeypot é exemplo de um recurso que pode implantar segurança por meio de controle
a) interno
b) lógico
c) restrito
d) biométrico
e) de assinatura digital
www.tecconcursos.com.br/questoes/222234
CESGRANRIO - PPNS (PETROBRAS)/PETROBRAS/Análise de Sistemas/Infraestrutura/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O sucesso de um programa de proteção da informaçãodepende, em grande parte, do
compromisso dos funcionários da empresa com o programa.
A política de mesa limpa e tela protegida, estipulada pela norma ISO 27002:2005, deve ser adotada para
a) restringir o acesso dos usuários apenas aos serviços que tenham sido especificamente
autorizados.
b) restringir a capacidade dos usuários de se conectarem a redes compartilhadas.
c) restringir e controlar o uso de programas utilitários que podem ser capazes de sobrepor os
controles dos sistemas e das aplicações.
d) prevenir acessos de usuários não autorizados e evitar o comprometimento e o roubo de
informações e recursos.
e) assegurar que as conexões de computadores e os fluxos de informação não violem a política de
controle de acesso das aplicações do negócio.
https://www.tecconcursos.com.br/questoes/222234
187) 
188) 
www.tecconcursos.com.br/questoes/292378
CESGRANRIO - AGC (EPE)/EPE/Tecnologia da Informação/2012
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
A gestão da segurança da informação em contextos sujeitos a mudanças frequentes no ambiente
computacional pode considerar ser adequado o uso de sistema de controle de acesso baseado em papéis
porque esses sistemas se baseiam no fato
a) das permissões de acesso serem associadas a papéis, e esses papéis associados a usuários.
b) dos papéis serem funções hash associadas diretamente aos usuários.
c) de cada senha de acesso ser associada a um par usuário-papel, pré-determinado e permanente.
d) da fixação do par usuário-papel reduzir a probabilidade de fraudes na integridade das mensagens.
e) da fixação do par usuário-papel dar mais segurança ao sistema.
www.tecconcursos.com.br/questoes/2674136
CESGRANRIO - ASis (Eletrobras)/Eletrobras/Processos de Negócio/2010
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Informações confidenciais de uma importante multinacional vazaram para a concorrente e, devido
ao grande prejuízo, o alto escalão resolveu dar uma atenção para a segurança da informação. Com base
nessa situação, é INCORRETO afirmar que
a) o envolvimento da estrutura organizacional pode fazer a diferença entre o sucesso e o fracasso de
todo o processo de segurança.
b) a tomada de consciência por parte dos responsáveis da organização constitui precondição
essencial para a concretização do processo de segurança.
c) as atividades relacionadas à segurança não devem ser executadas apenas por um pequeno grupo
da organização, mas, por todas as pessoas, indo do topo para a base.
https://www.tecconcursos.com.br/questoes/292378
https://www.tecconcursos.com.br/questoes/2674136
189) 
190) 
d) funcionário insatisfeito e erro humano são duas grandes vulnerabilidades responsáveis pela
maioria dos vazamentos de informação.
e) muitas das violações à segurança da informação acontecem porque pessoas de confiança realizam
procedimentos não autorizados.
www.tecconcursos.com.br/questoes/24461
ESAF - Ana Tec (SUSEP)/SUSEP/Tecnologia da Informação/2010
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
O gerenciamento de tokens é feito com base nas primitivas de serviço
a) token-ring, set-token e give-control.
b) point-token, notice-token e give-control.
c) give-token, please-token e give-control.
d) give-token, put-token e give-messages.
e) start-token, please-token e make-control.
www.tecconcursos.com.br/questoes/2675550
CESGRANRIO - Ana CT (CAPES)/CAPES/Análise de Sistemas/2008
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Uma autenticação é caracterizada como forte quando estão presentes 2 ou mais itens dos
seguintes fatores:
a) senha, integridade, disponibilidade.
b) disponibilidade, confidencialidade, confiabilidade.
c) onde você está, em quem você confia, integridade.
d) o que você é, o que você sabe, o que você tem.
https://www.tecconcursos.com.br/questoes/24461
https://www.tecconcursos.com.br/questoes/2675550
191) 
e) o que você é, confiabilidade, em quem você confia.
www.tecconcursos.com.br/questoes/136840
CESGRANRIO - TBN (CEF)/CEF/Tecnologia da Informação/2008
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
No âmbito da segurança da informação, observe as afirmativas a seguir.
I - Se uma ferramenta de análise de vulnerabilidades aponta falha de segurança em um determinado
ambiente, é porque não existem barreiras de proteção (firewalls) configuradas.
II - Os esforços de controle de acesso devem ser direcionados aos usuários externos, já que ataques
de usuários internos não são factíveis.
III - Heurísticas em programas de antivírus podem detectar um vírus ainda não conhecido, contudo,
esse mecanismo está sujeito a falsos positivos.
Está(ão) correta(s) SOMENTE a(s) afirmativa(s)
a) I
b) III
c) I e II
d) I e III
e) II e III
https://www.tecconcursos.com.br/questoes/136840
192) 
193) 
www.tecconcursos.com.br/questoes/82689
CESGRANRIO - PB (BNDES)/BNDES/Análise de Sistemas - Suporte/2008
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
No âmbito de segurança, é INCORRETO afirmar que o single sign-on
a) permite que um usuário se autentique uma única vez para acessar múltiplos sistemas e aplicações.
b) é aplicável em sistemas WEB, mesmo que não se utilize certificação digital.
c) é implantado mais facilmente em ambientes de infra-estrutura homogênea do que heterogênea.
d) reduz a complexidade da infra-estrutura e dificulta ataques de força-bruta em senhas.
e) facilita a gerência e a administração centralizada de identidades.
www.tecconcursos.com.br/questoes/56612
ESAF - AFFC (STN)/STN/Tecnologia da Informação/Operação e Infraestrutura/2008
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Em uma dada empresa, a política de segurança pode ser definida e modificada por um conjunto
pequeno de funcionários em função de níveis de segurança. Este é um cenário relacionado ao serviço de
segurança denominado
a) Confidencialidade.
b) Integridade.
c) Disponibilidade.
d) Controle de acesso.
e) Assinatura digital.
www.tecconcursos.com.br/questoes/83171
https://www.tecconcursos.com.br/questoes/82689
https://www.tecconcursos.com.br/questoes/56612
https://www.tecconcursos.com.br/questoes/83171
194) 
195) 
CESGRANRIO - PB (BNDES)/BNDES/Análise de Sistemas - Suporte/2007
TI - Segurança da Informação - Controle de Acesso Físico e Lógico e Segurança Física
Qual opção apresenta um conjunto de métodos que caracteriza uma autenticação forte?
a) Utilização de senha, dados pessoais aleatórios e PIN.
b) Reconhecimento de retina e impressão digital.
c) Uso de crachá magnético, chave física e crachá com código de barras.
d) Reconhecimento facial e de íris.
e) Reconhecimento de padrão de voz e utilização de senha.
www.tecconcursos.com.br/questoes/97793
ESAF - AFFC (STN)/STN/Tecnologia da Informação/Operação e Infraestrutura/2013
TI - Segurança da Informação - Gerenciamento das Operações e Comunicações
É conveniente que os acordos com terceiros envolvendo o acesso, processamento, comunicação ou
gerenciamento dos recursos de processamento da informação ou da informação da organização, ou o
acréscimo de produtos ou serviços aos recursos de processamento da informação cubram todos os
requisitos de segurança da informação relevantes. Para tanto, é pertinente que seja considerado para
inclusão no acordo o(a):
a) Política de demissão de pessoal.
b) Processo de gestão de mudanças.
c) Código de Ética das partes.
d) Plano estratégico do terceiro.
e) Certificação 27001 do terceiro.
www.tecconcursos.com.br/questoes/356276
https://www.tecconcursos.com.br/questoes/97793
https://www.tecconcursos.com.br/questoes/356276
196) 
197) 
CESGRANRIO - PTNS (TRANSPETRO)/TRANSPETRO/Análise de Sistemas/Software/2011
TI - Segurança da Informação - Gerenciamento das Operações e Comunicações
A Norma ISO 27002, ao tratar de comércio eletrônico, estabelece o objetivo “garantir a segurança
de serviçosde comércio eletrônico e sua utilização segura”. Estabelece, ainda, a conveniência de que as
considerações de segurança da informação para comércio eletrônico incluam, entre outros, o seguinte
item:
a) nível de confiança que cada parte requer na suposta identidade de outros, como, por exemplo,
por meio de mecanismos de autenticação.
b) processos de autorização para quem consulta sobre preços ou imprime quaisquer documentos.
c) garantia de que as propostas comerciais serão conhecidas por ambas as partes.
d) confidencialidade das listas de preços autorizadas.
e) portabilidade de quaisquer dados ou informações sobre a identificação dos parceiros.
www.tecconcursos.com.br/questoes/2677383
CESGRANRIO - AGC (EPE)/EPE/Tecnologia da Informação/2007
TI - Segurança da Informação - Aquisição, Desenvolvimento e Manutenção de Sistemas de
Informação
No Windows XP Service Pack 2 (SP2), que recurso NÃO está disponível na instalação padrão?
a) Firewall.
b) Anti-vírus.
c) Prevenção de Execução de Dados (DEP).
d) Atualizações Automáticas.
e) Kernel.
https://www.tecconcursos.com.br/questoes/2677383
198) 
www.tecconcursos.com.br/questoes/690154
FAURGS - Tec TI (BANRISUL)/BANRISUL/Segurança da Tecnologia da Informação/2018
TI - Segurança da Informação - Eventos e Incidentes de Segurança (NBR ISO/IEC 27001,
27002 e outras)
Durante uma investigação de um incidente de segurança, constatou-se que o seguinte código
estava embutido em um determinado website:
 
<img
src="http://admin:admin@10.1.1.1/userRpm/WanDynamicIpCfgRpm.htm?
wan=0&wantype=0&mtu=1500&manual
=2&dnsserver=198.51.100.1&dnsserver2=203.0.113.7&hostName=TLINK&Save=Save"
style="display:none"
title="Carregando" alt="Carregando" width="100" heigth="40" />
 
Considere as afirmações abaixo sobre esse código.
 
I - Trata-se de ataque no qual se pretende modificar a configuração dos servidores de nomes de um
dispositivo.
 
II - É um ataque que disponibiliza a configuração dos servidores de nomes utilizados pelo website.
 
III - Trata-se de um ataque do tipo Cross-Site Request Forgery (CSRF).
 
IV - É um ataque que pretende sobrecarregar o sistema com dados aleatórios para ter acesso a
dados da memória de um servidor web.
 
https://www.tecconcursos.com.br/questoes/690154
199) 
V - Trata-se de uma requisição que informa ao website qual a configuração de resolução de nomes
utilizada pelo usuário.
 
Quais estão corretas?
a) Apenas I.
b) Apenas IV.
c) Apenas V.
d) Apenas I e III.
e) Apenas II e III.
www.tecconcursos.com.br/questoes/440611
FUNDATEC - Ana Sist (BRDE)/BRDE/Suporte/2015
TI - Segurança da Informação - Eventos e Incidentes de Segurança (NBR ISO/IEC 27001,
27002 e outras)
Suponha a seguinte situação: um usuário encontra um pendrive e decide verificar que conteúdo
possui. Há um arquivo denominado jogo.exe (arquivo executável para o Windows). O usuário executa e
realmente trata-se de um jogo (de cartas) que funciona normalmente. Porém, cada vez que é executado,
além do jogo, também é executado um software que captura as teclas digitadas, sem o consentimento
do usuário. Diante do cenário apresentado, é correto afirmar que se trata de um:
a) Cavalo de troia contendo um keylogger.
b) Cavalo de troia contendo um backdoor.
c) Rootkit contendo um backdoor.
https://www.tecconcursos.com.br/questoes/440611
200) 
d) Rootkit contendo um vírus.
e) Vírus.
www.tecconcursos.com.br/questoes/297287
CESGRANRIO - Ana (IBGE)/IBGE/Análise de Sistemas/Suporte à Comunicação e à
Rede/2013
TI - Segurança da Informação - Eventos e Incidentes de Segurança (NBR ISO/IEC 27001,
27002 e outras)
Políticas de Segurança da Informação classificam os incidentes de segurança em níveis de
severidade.
Qual incidente é classificado como de alto nível de severidade?
a) Perda de senha
b) Invasão de redes e sistemas
c) Realização de download ilegal de músicas
d) Utilização de recursos para fins pessoais
e) Acesso a recurso não autorizado
https://www.tecconcursos.com.br/questoes/297287
Gabarito
1) D 2) C 3) A 4) A 5) E 6) D 7) B
8) E 9) E 10) C 11) D 12) B 13) B 14) D
15) A 16) E 17) D 18) A 19) C 20) E 21) D
22) B 23) C 24) B 25) B 26) C 27) E 28) A
29) E 30) E 31) A 32) E 33) D 34) D 35) B
36) C 37) B 38) E 39) A 40) E 41) D 42) E
43) D 44) C 45) D 46) E 47) A 48) E 49) C
50) D 51) C 52) A 53) A 54) D 55) A 56) E
57) B 58) E 59) E 60) B 61) B 62) A 63) A
64) D 65) C 66) D 67) A 68) D 69) D 70) C
71) A 72) B 73) E 74) B 75) A 76) B 77) B
78) D 79) B 80) B 81) C 82) B 83) C 84) E
85) C 86) D 87) E 88) C 89) D 90) B 91) E
92) A 93) B 94) E 95) A 96) A 97) E 98) E
99) B 100) C 101) A 102) A 103) E 104) C 105) D
106) A 107) D 108) B 109) D 110) B 111) E 112) C
113) B 114) E 115) A 116) A 117) B 118) E 119) A
120) D 121) E 122) C 123) E 124) E 125) E 126) C
127) A 128) B 129) D 130) A 131) C 132) B 133) E
134) B 135) B 136) A 137) C 138) D 139) A 140) E
141) A 142) B 143) D 144) C 145) B 146) A 147) E
148) E 149) E 150) D 151) A 152) D 153) E 154) E
155) C 156) C 157) E 158) E 159) C 160) D 161) E
162) C 163) E 164) C 165) D 166) E 167) D 168) C
169) D 170) C 171) A 172) D 173) C 174) A 175) C
176) E 177) E 178) B 179) A 180) D 181) D 182) B
183) C 184) C 185) B 186) D 187) A 188) D 189) C
190) D 191) B 192) D 193) D 194) E 195) B 196) A
197) B 198) D 199) A 200) B