A norma NBR 15999 especifica os requisitos de um plano para ...

A alternativa correta é E (errado).

Vamos entender por que a afirmação está incorreta e quais os conhecimentos necessários para resolver essa questão de maneira adequada.

A questão aborda a NBR 15999 e a ISO 27001. É importante compreender a função e a origem de cada uma dessas normas para responder corretamente.

A NBR 15999 é uma norma brasileira que especifica os requisitos para um plano de continuidade de negócios, ou seja, ela foca na preservação das operações da empresa em caso de incidentes graves que possam interromper o funcionamento normal. Esta norma foi desenvolvida com base em padrões internacionais, mas é importante notar que ela não é diretamente baseada na ISO 27001.

Por outro lado, a ISO 27001 é uma norma internacional que especifica os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). Esta norma é essencial para a proteção de dados e informações sensíveis contra ameaças e vulnerabilidades, mas não foca diretamente na continuidade de negócios. A ISO 27001 é amplamente reconhecida como um padrão principal para a segurança da informação.

A questão afirma que a NBR 15999 é baseada na ISO 27001 e que esta última é considerada um ponto focal na gestão de continuidade de negócios. Esta afirmação é incorreta por dois motivos principais:

1. A NBR 15999 não é baseada na ISO 27001: A NBR 15999 tem como base a norma britânica BS 25999, que posteriormente evoluiu para a ISO 22301, a norma internacional específica para a gestão de continuidade de negócios.

2. A ISO 27001 não é o ponto focal para a continuidade de negócios: A ISO 27001 é focada na segurança da informação. A norma internacionalmente reconhecida para a continuidade de negócios é a ISO 22301.

Portanto, ao afirmar que a NBR 15999 é baseada na ISO 27001, a questão contém um erro, pois confunde as normas e suas respectivas áreas de foco. A NBR 15999 está mais alinhada com a ISO 22301 do que com a ISO 27001.

Espero que esta explicação tenha esclarecido suas dúvidas! Caso tenha mais perguntas sobre normas ou outros temas relacionados, estarei à disposição para ajudar.

Eu não sei onde está o erro. Quem souber me avisa que fiquei com dúvida nessa questão. Se for pra chutar o erro acho que a ISO 15999 baseia-se na norma BS 25999-1, que trata da gestão da continuidade do negócio. 

Fala, HTTP Concurseiro

"A NBR 15999:2007 é baseada na norma britânica BS 25999:2006"

Referência: Livro Segurança da Informação Descomplicada, por Socrates Arantes T. Filho - pg. 70

Espero ter ajudado.

Pelo que eu entendi, a questão afirmou que "a ISO 27001 ... é considerada como ponto focal da discussão de normas de gestão de continuidade de negócios".

ISO 27.001 é para definição dos requisitos para um SGSI.

que é pronome relativo, retoma o termo anteriormente citado... no caso, 27001. Nesse contexto, falar que 27001 baseia continuidade de negócios é errado

A Gestão da Continuidade de Negócios é algo maior que um Sistema Gerenciador de Segurança da Informação.

"A seguir estão alguns dos principais procedimentos e documentos exigidos pela BS 25999-2 (mãe da NBR 15999:2007 ):

objetivo do SGCN – identificação precisa da área da organização em que a gestão de continuidade de negócios é aplicada

Política de GCN – definição de objetivos, responsabilidades, etc.

gestão de recursos humanos

análise de impacto nos negócios e avaliação de riscos

definição da estratégia de continuidade de negócios

planos de continuidade de negócios

manutenção de planos e sistemas; melhoria"

Veja que a atividade de avaliação de risco, por exemplo, é só uma das muitas etapas num GCN. E nem sequer fala-se em risco de segurança da informação, mas sim riscos de negócio.

Fonte: http://advisera.com/27001academy/pt-br/o-que-e-a-bs-25999/