André trabalha no desenvolvimento de um software para o Tribunal Regional do Trabalho da 15ª Região. Recentemente seu chefe cogitou adotar uma Norma que se aplica ao desenvolvimento de produtos de software. André foi o encarregado de escolher a Norma adequada. Pesquisou então a norma ABNT NBR ISO/IEC 12207:2009, que se aplica à aquisição de sistemas e produtos de software e serviços para o fornecimento, desenvolvimento, operação, manutenção e descontinuidade de produtos de software. André descobriu que esta Norma pode ser usada

I. Em um projeto, para ajudar a selecionar, estruturar e utilizar os elementos de um conjunto de processos de ciclo de vida estabelecidos que forneçam produtos e serviços. Desse modo, esta Norma pode ser usada na avaliação de conformidade do projeto para o ambiente estabelecido e declarado.

II. Por uma organização, para ajudar a estabelecer um ambiente de processos desejados. Esses processos podem ser sustentados por uma infraestrutura de métodos, procedimentos, técnicas, ferramentas e pessoal treinado. A organização pode empregar esse ambiente para realizar e gerenciar seus projetos e seus sistemas em andamento durante as fases do ciclo de vida. Desse modo, essa Norma pode ser usada para avaliar a conformidade de um conjunto declarado e estabelecido de processos do ciclo de vida de acordo com as necessidades.

III. Por um adquirente e um fornecedor, para ajudar a estabelecer um acordo em relação aos processos e às atividades. Esse acordo contempla os processos e atividades desta Norma que são selecionados, negociados, acordados e executados. Desse modo, esta Norma pode ser usada para orientar a definição do acordo.

IV. Por organizações avaliadoras e avaliadores credenciados, para realizar avaliações que possam ser usadas para obtenção de certificação oficial. Esta Norma fornece um conjunto definido de processos para que a organização obtenha certificação ISO/IEC no prazo máximo de 1 ano.

Está correto o que se afirma APENAS em

Existem diversas precauções que podem ser tomadas para ajudar a proteger sistemas contra malwares. As melhores práticas incluem

A direção deve analisar criticamente o Sistema de Gestão da Segurança da Informação (SGSI) da organização a intervalos planejados para assegurar a sua contínua pertinência, adequação e eficácia. Uma das saídas desta análise crítica, segundo a Norma ABNT NBR ISO/IEC 27001:2006, deve incluir quaisquer decisões e ações relacionadas à modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI. Esta saída NÃO inclui mudanças de

Paulo foi contratado para fazer parte da equipe responsável por fazer a auditoria do Sistema de Gestão da Segurança da Informação (SGSI) do Tribunal Regional do Trabalho da 15ª Região. Como não possuía conhecimentos aprofundados sobre auditoria de sistemas, resolveu consultar uma Norma da família 27000 que apresenta as diretrizes para auditoria de SGSI, orientando sobre como gerenciar um programa de auditoria de SGSI, como executar as auditorias e sobre as competências necessárias para auditores de SGSI. A Norma consultada por Paulo foi a :

De acordo com os conhecimentos comprovadamente consolidados sobre a Gestão de Riscos, vista sob uma perspectiva de alto nível, o processo de Avaliação de Riscos consiste, em ordem sequencial, nas atividades de: