A ISO/IEC 27002 surgiu em 2005 e veio como uma atualização d...

Alternativa Correta: A - Política de segurança

A questão apresentada aborda a norma ISO/IEC 27002, que fornece diretrizes e práticas recomendadas para o gerenciamento de segurança da informação nas organizações. A norma é uma atualização do padrão ISO 17799 e é fundamental para garantir a proteção dos ativos de informação contra ameaças potenciais.

A segurança da informação é baseada em três pilares fundamentais: Disponibilidade, Integridade e Confidencialidade. Entretanto, a ISO/IEC 27002 também introduz outras diretrizes e práticas que são essenciais para a gestão segura da informação.

Uma das seções mencionadas na questão é responsável pela declaração de orientação gerencial. Esta seção é a Política de segurança, que é a alternativa correta (A). Esta política estabelece a direção e os princípios gerais para o gerenciamento da segurança da informação dentro da organização. Ela atua como um ponto de referência para todas as outras medidas de segurança implementadas.

Vamos agora analisar as alternativas incorretas:

B - Organização de segurança da informação: Esta seção trata sobre a estrutura organizacional necessária para suportar a segurança da informação, como a definição de papéis e responsabilidades, mas não é focada na declaração de orientação gerencial.

C - Gerenciamento de comunicações e operações: Esta seção aborda os controles necessários para garantir a operação segura dos recursos de processamento da informação e das comunicações, mas não sobre a declaração de orientação gerencial.

D - Gerenciamento e manutenção de aquisição de sistemas de informação: Esta seção é responsável por assegurar que os sistemas de informação sejam desenvolvidos, mantidos e adquiridos com segurança, mas não cobre a política de segurança e a orientação gerencial.

Em resumo, a Política de segurança é a seção que estabelece as diretrizes e princípios gerais para a segurança da informação, sendo essencial para a orientação gerencial dentro da norma ISO/IEC 27002. Por isso, a alternativa A está correta.

Letra A

5 Políticas de segurança da informação
5.1 Orientação da direção para segurança da informação
Objetivo: Prover uma orientação e apoio da direção para a segurança da informação, de acordo com os
requisitos do negócio e com as leis e regulamentações relevantes.

A ISO 27002:2013 não contém esse termo "orientação gerencial", mas ele está contido na ISO 27001:2013.

A.5 Política de segurança

A.5.1 Política de segurança da informação

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A.5.1.1: Documento da política de segurança da informação:

Controle: Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.

Se ele se referisse à 27001 estaria redondinho certo, mas tenho duvidas no caso da 27002.

A seção responsável pela declaração de orientação gerencial na norma ISO/IEC 27002 é a seção 5 - Política de Segurança da Informação. Essa seção descreve os requisitos e as recomendações para a criação, implementação e manutenção de uma política de segurança da informação em uma organização, incluindo a necessidade de uma declaração de orientação gerencial que estabeleça o compromisso da alta administração com a segurança da informação. A seção 5 também aborda a necessidade de estabelecer papéis e responsabilidades para a segurança da informação na organização, e a importância de monitorar e revisar regularmente a política de segurança da informação para garantir sua eficácia e conformidade contínua com as necessidades e objetivos da organização.