Assegurar que a informação seja classificada e receba um ní...

A alternativa correta é a E - da gestão de ativos.

A questão aborda a temática da classificação da informação e sua proteção, que é um aspecto essencial da segurança da informação conforme a norma ISO 27002. Esta norma fornece diretrizes para a gestão da segurança da informação, incluindo a definição de controles que devem ser implementados para proteger a informação e os ativos da organização.

O objetivo mencionado no enunciado - assegurar que a informação seja classificada e receba um nível adequado de proteção - está diretamente relacionado à gestão de ativos. No contexto da ISO 27002, os ativos incluem não apenas os dados e informações, mas também hardware, software e outros recursos que precisam ser protegidos.

Justificando a alternativa correta:

A categoria gestão de ativos da ISO 27002 inclui controles para garantir que os ativos de informação, como documentos, arquivos e dados digitais, sejam identificados, classificados e recebam proteção adequada. A gestão de ativos engloba a identificação de todos os ativos relevantes e a implementação de medidas de proteção conforme seu valor e importância para a organização.

Analisando as alternativas incorretas:

A - Gestão de incidentes de segurança da informação: Esta categoria trata de como a organização deve responder a eventos e incidentes de segurança que possam ocorrer. O foco aqui é na detecção, resposta e recuperação de incidentes, não na classificação e proteção de informações.

B - Segurança física e do ambiente: Esta categoria lida com a proteção das instalações físicas e do ambiente que abriga a infraestrutura de TI e os ativos de informação. Trata-se de medidas como controle de acesso físico, vigilância e proteção contra desastres ambientais, mas não especificamente da classificação de informações.

C - Conformidade: A conformidade envolve garantir que a organização esteja em conformidade com leis, regulamentos e padrões aplicáveis. Essa categoria abrange auditorias e revisões, mas não trata da classificação e proteção das informações diretamente.

D - Controle de acesso: Esta categoria tem o objetivo de limitar o acesso a informações apenas a pessoas autorizadas. Embora seja crucial para a segurança da informação, ela se concentra mais em quem pode acessar a informação, e não na classificação e proteção inicial dos dados.

Portanto, a alternativa que melhor responde ao enunciado da questão é a alternativa E - gestão de ativos, pois é nessa categoria que a classificação e a proteção das informações são abordadas de forma direta e abrangente.

Gestão de ativo
7.2 Classificação da informação
Assegurar que a informação receba um nível adequado de proteção.

Convém  que a informação seja classificada para indicar a necessidade, prioridades e  o nível esperado de proteção quando do tratamento da informação.
A informação possui vários nívies de sensibilidade e criticidade. Alguns ítens podem necessitar de um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usada para definir um conjunto apropriado de nível de proteção e determinar as necessidades de medidas especiais de tratamento.

ISO 27002.

Segundo a ISO 27002:2013,"

8 Gestão de ativos

8.2
Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização."

Questão mal redigida. Em vez de 'processamento' seria melhor falar 'tratamento'