De acordo com o item 6.1.3 da norma técnica ABNT ISO/IEC 27001:2013:
6.1.3 Tratamento de riscos de segurança da informação
A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:
(...) d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.
Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.
De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como “Não-conformidade”?
Sim
Não
Indica uma simples observação a ser feita
Falta informação nessa checagem para classificar
Não se aplica a esta norma

Question

De acordo com o item 6.1.3 da norma técnica ABNT ISO/IEC 27001:2013:

6.1.3 Tratamento de riscos de segurança da informação

A organização deve definir a aplicar um processo de tratamento de riscos de segurança da informação para:

(...) d) elaborar uma declaração de aplicabilidade, que contenha os controles necessários (ver 6.1.3 b) e c), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A.

Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma.

De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como “Não-conformidade”?

Sim
Não
Indica uma simples observação a ser feita
Falta informação nessa checagem para classificar
Não se aplica a esta norma

Sapien IA · Accepted Answer

Alternativa A Sim A questão aborda a conformidade com a norma ABNT NBR ISO/IEC 27001:2013 , especificamente referente ao tratamento de riscos e à Declaração de Aplicabilidade . Para responder corretamente, é necessário entender os requisitos obrigatórios da norma para documentação e auditoria. Análise do Item 6.1.3 O item 6.1.3 da norma estabelece os procedimentos que a organização deve seguir para tratar riscos de segurança da informação. Vamos analisar os pontos chave citados no enunciado: Requisito Obrigatório (Item d): A norma exige explicitamente que a organização elabore uma Declaração de Aplicabilidade (Statement of Applicability SoA). Conteúdo Exigido: Esta declaração deve conter: Os controles necessários para implementar as opções escolhidas. A justificativa para inclusões (seja implementado ou não). A justificativa para exclusões dos controles do Anexo A. Conceito de Não Conformidade: Na terminologia de sistemas de gestão (como a ISO 19000), uma não conformidade ocorre quando um requisito estabelecido não é atendido. Verificação do Cenário No caso apresentado na questão: | Elemento | Requisito da Norma | Situação da Empresa | Resultado | | : | : | : | : | | Documento | Declaração de Aplicabilidade | Presente | OK | | Justificativa de Exclusão | Obrigatória conforme item 6.1.3 (d) | Ausente | Falha | Como a empresa não apresentou a justificativa para as exclusões na Declaração de Aplicabilidade, ela falhou em cumprir um requisito explícito da norma. Em uma auditoria formal, a ausência de evidência objetiva de um requisito obrigatório caracteriza uma Não conformidade . Portanto, a falta dessa documentação não é apenas uma observação simples, mas uma falha de conformidade direta com o item 6.1.3. Resposta Correta: Alternativa A

Explicação passo a passo

Análise do Item 6.1.3

Verificação do Cenário

Mais questões de Administração

Tem outra questão de Administração?

Elemento	Requisito da Norma	Situação da Empresa	Resultado
Documento	Declaração de Aplicabilidade	Presente	OK
Justificativa de Exclusão	Obrigatória conforme item 6.1.3 (d)	Ausente	Falha