Questionmark Perception
Out 28 2021 |
Conectado como : candidado
Alterar o tamanho da letra

Introdução

Introdução

Este é o exame simulado EXIN Information Security Management Professional based on ISO/IEC 27001 (ISMP.PR). As regras e regulamentos do exame do EXIN se aplicam a este exame.

Este exame consiste de 30 questões de múltipla escolha. Cada questão de múltipla escolha possui um certo número de alternativas de resposta, entre as quais apenas uma resposta é a correta.

O número máximo de pontos que pode ser obtido neste exame é 30. Cada resposta correta vale 1 ponto. Você precisa de 20 pontos ou mais para passar no exame.

O tempo permitido para este exame é de 90 minutos.

Boa Sorte!





Copyright © EXIN Holding B.V. 2020. All rights reserved.
EXIN® is a registered trademark.

Pergunta

1  de 30
Qual é um elemento chave do desenvolvimento da estratégia de segurança?

Pergunta

2  de 30
Um dos desafios de um gerente de segurança de TI de uma empresa muito conservadora é o de ensinar o gerente de TI que, para fornecer um programa de segurança da informação efetivo para a organização, uma mudança se faz necessária em relação aos conceitos sobre o que é a segurança de TI e o que ela engloba.

O que o gerente de segurança de TI está tentando ensinar gerente de TI?

Pergunta

3  de 30
Um dos gerentes de negócio está muito preocupado que qualquer tipo de programa de segurança de TI possa ser intrusivo demais e impeça que o negócio continue a prosperar e inovar.

Qual afirmação melhor descreve o que deve ser dito ao gerente?

Pergunta

4  de 30
O gerente de segurança é o responsável pela definição dos controles de segurança. A empresa está selecionando um fornecedor para hospedar um sistema de pedidos direcionado para a web.

Qual deve ser o aspecto mais importante que o gerente de segurança investigará?

Pergunta

5  de 30
Controles de segurança são definidos com base na classificação de segurança de um elemento de dados.

Quem é o responsável pela classificação de segurança de um elemento de dados?

Pergunta

6  de 30
Que abordagem para avaliação de riscos utiliza categorias em vez de números reais para determinar os riscos?

Pergunta

7  de 30
O gerenciamento de segurança da informação está sendo implementado atualmente na empresa “Internet Booksellers”. O líder do projeto de segurança da informação entende que o processo de identificação de riscos exige que ele organize os ativos organizacionais por ordem de importância e trabalhe com o gerente financeiro para elaborar essa lista. O peso de importância baseia-se nos seguintes critérios: impacto sobre a receita (30%), impacto sobre a rentabilidade (40%) e impacto sobre a imagem pública (30%).

O gerente financeiro sugeriu quatro importantes ativos de informação:
  • Pedido para o fornecedor (saída)
  • Pedido do cliente via SSL (entrada)
  • Orientação de conformidade do fornecedor (entrada)
  • Requisição de atendimento ao cliente por e-mail (entrada)

Qual ativo tem a melhor classificação com base nos critérios de impacto?

Pergunta

8  de 30
O que precisa ser decidido antes de considerar o tratamento de riscos?

Pergunta

9  de 30
Uma grande empresa de transporte adotou a norma de segurança da informação (ISO/IEC 27001:2013) e precisa definir controles para seu departamento de desenvolvimento de software, que está sendo terceirizado. Um consultor externo foi determinado para certificar-se de que sejam implementados controles de segurança consistentes com o código de práticas em toda a cadeia de suprimentos de desenvolvimento de software na nova situação terceirizada.

Qual controle deve ser colocado em prática para garantir a disponibilidade do código-fonte caso um dos parceiros da cadeia de suprimento abandone o negócio?

Pergunta

10  de 30
A gerente de segurança de uma organização acaba de ser solicitada a liderar o primeiro esforço da organização para a avaliação de riscos. A gerente de segurança está no processo de implementação de controles para mitigar os riscos identificados. Ela levou em conta os objetivos da organização, legislação e as normas aplicáveis.

Qual item deveria também ser levado em consideração ao se implementar controles operacionais?

Pergunta

11  de 30
O escopo do gerenciamento de riscos não se limita exclusivamente aos processos organizacionais. Ele também deve ser incorporado à metodologia de gerenciamento de projetos. Por exemplo, uma avaliação de riscos de segurança da informação deve ser realizada na fase inicial de cada projeto. Ao implementar a gerenciamento de riscos de projetos, é necessário considerar o escopo desse processo.

O que deve ser incluído no escopo de um gerenciamento de riscos para projetos padrão?

Pergunta

12  de 30
Qual é o nome popular da ISO/IEC 15408 sobre modelos de arquitetura de segurança?

Pergunta

13  de 30
Uma gerente de operações quer assessoria sobre a abertura de um segundo datacenter em um local com ‘hot standby’.

Qual é o conselho que o gerente de segurança deveria fornecer?

Pergunta

14  de 30
Uma equipe de segurança acabou de finalizar uma avaliação de riscos organizacional e agora estão discutindo os controles para mitigar os riscos. Como parte deste esforço programas e controles técnicos foram considerados.

Qual é a terceira categoria de controles de acesso que deve ser considerada?

Pergunta

15  de 30
Após fazer uma avaliação de riscos e estabelecer um conjunto de controles adequado que satisfaça o apetite de risco da organização, o trabalho do consultor está quase completo. O consultor entende que na realidade nenhum conjunto de controles pode fornecer uma segurança completa.

O que deve ser executado para reforçar ainda mais a segurança?

Pergunta

16  de 30
O gerente de segurança da informação acaba de ser informado sobre uma revisão gerencial pendente da política de segurança da informação.

Qual é uma contribuição para esta revisão gerencial?

Pergunta

17  de 30
O gerente de segurança da informação de uma empresa global acaba de receber uma revisão gerencial da política de segurança da informação.

O que o resultado desta revisão deve incluir?

Pergunta

18  de 30
Manter um programa de segurança da informação requer um processo contínuo. Isto requer entradas (inputs) de muitos diferentes fatores que irão influenciar o seu sucesso.

Qual é uma influência de entrada que exigiria a mudança do processo?

Pergunta

19  de 30
Uma grande parte da responsabilidade de uma equipe de segurança da informação consiste em monitorar e detectar incidentes.

Qual é o indicador mais provável de um incidente?

Pergunta

20  de 30
Quem é responsável pela coordenação de uma campanha de conscientização sobre segurança na organização?

Pergunta

21  de 30
No ano passado uma organização tornou-se mais rigorosa no que se refere aos controles de segurança de seus funcionários. Antes de implementar controles adicionais, a diretora de segurança da informação deseja conhecer a mentalidade dos funcionários em relação aos controles de segurança da informação.

Como ela pode obter rapidamente uma noção a respeito?

Pergunta

22  de 30
Qual é a principal vantagem de usar uma arquitetura de segurança de design aberto?

Pergunta

23  de 30
Qual item de segurança foi desenvolvido para capturar grandes quantidades de tráfego na rede que podem indicar um ataque de negação de serviço?

Pergunta

24  de 30
A CEO de uma empresa começou a usar um tablet e quer que o gerente de segurança, lhe facilite a utilização do e-mail e agenda corporativa no tablet. O gerente de segurança entende esse desejo como uma possibilidade de Trazer Seu Próprio Dispositivo (Bring Your Own Device - BYOD).

Quais controles (além de um treinamento de conscientização) deve ser proposto para evitar perdas de dados em caso de roubo ou perda do dispositivo pessoal?

Pergunta

25  de 30
Qual afirmação sobre a arquitetura de segurança é a mais correta?

Pergunta

26  de 30
Zoneamento é um controle de segurança para separar áreas físicas com níveis de segurança diferentes. Zonas com níveis de segurança mais altos podem ser protegidas com mais controles. O gerente de segurança de um hotel é responsável pela segurança e está considerando diferentes zonas para o hotel.

Qual combinação de funções de negócios deve ser combinada em uma única zona de segurança?

Pergunta

27  de 30
Sabendo que os controles de segurança física são uma parte muito importante de um programa de segurança da informação, é solicitado à equipe de segurança que desenhe e em seguida implemente um perímetro de segurança para um departamento que está configurando alguns novos sistemas de dados.

De acordo com a ISO/IEC 27001, qual é a diretriz mais importante que deve ser considerado ao estabelecer este perímetro?

Pergunta

28  de 30
A gerente de recursos humanos da sua organização perguntou o que ela pode fazer como um benefício rápido (quick win) na área de recursos humanos e contratações para ajudar a fortalecer o programa de segurança da informação da organização de acordo com a ISO 27001.

Qual seria o seu conselho?

Pergunta

29  de 30
O gerente de continuidade de negócios solicita entradas para o plano de contingência.

Qual deveria ser a sua primeira atividade?

Pergunta

30  de 30
Uma componente chave a ser integrada no programa de segurança da informação de sua organização é um programa de continuidade de negócios robusto. Para ajudar a fazer isso, foi solicitado a um consultor de segurança a listar os requisitos de informação essenciais para tal programa.

Qual é a sua primeira preocupação sobre gestão de continuidade de negócios do ponto de vista da segurança da informação?