Determinada empresa efetuou, de acordo com a norma ISO/IEC 27002, análise crítica da sua política de segurança,
iniciando-a por uma área específica. Uma equipe interna de
auditoria, composta por pessoas não relacionadas à área objeto
de análise, foi montada especialmente para essa finalidade.Considerando essa situação hipotética e o que dispõe a referida
norma, julgue os itens a seguir.
Suponha que a equipe de auditoria, por meio da análise do
documento de política de segurança da informação e dos
controles estabelecidos para a área avaliada, tenha observado
que a referida área estava provendo novos serviços
disponibilizados via Web sem avaliação/análise de risco nem
detalhamento dos controles de segurança relativos a tais
serviços. Nesse caso, é correto afirmar que o procedimento
adotado pela área avaliada não atende ao que dispõe a norma
em questão.