Acerca da classificação e controle de ativos de informação, ...

A alternativa C é a correta.

Vamos entender por que a alternativa C está correta e quais são as falhas nas demais alternativas.

Alternativa correta:

C - As instalações de processamento da informação gerenciadas pela organização devem localizar-se fisicamente separadas daquelas que são gerenciadas por terceiros.

Essa afirmação está correta porque a separação física das instalações de processamento de informação gerenciadas pela organização daquelas gerenciadas por terceiros é uma prática recomendada para aumentar a segurança. Isso ajuda a minimizar riscos de acesso não autorizado e protege contra possíveis ameaças físicas e lógicas.

Alternativas incorretas:

A - Todo equipamento que contenha mídia de armazenamento de informação deve ser destruído para garantir que as informações sensíveis nele armazenadas sejam inacessíveis após seu descarte ou envio para conserto.

Essa alternativa está incorreta porque a destruição completa do equipamento não é a única forma de garantir a segurança das informações. Existem métodos como a desmagnetização (degaussing) e a sobrescrição de dados, que podem tornar as informações inacessíveis sem a necessidade de destruir o equipamento.

B - Paredes, portões de entrada controlados por cartão e balcões de recepção com recepcionista são os objetos que devem ser utilizados para delimitar um perímetro de segurança física.

Embora esses elementos possam ser parte de um perímetro de segurança física, eles não são os únicos componentes necessários. Um perímetro de segurança eficaz deve incluir uma combinação de várias medidas de segurança física, como vigilância por câmeras, alarmes, segurança pessoal, entre outros, para ser realmente eficaz.

D - Qualquer esquema de classificação da informação aborda riscos de segurança da informação.

Essa afirmação está incorreta porque um esquema de classificação de informação pode ser elaborado com diversos objetivos, como a organização de dados para fins administrativos, sem necessariamente abordar riscos de segurança. A eficácia no manejo dos riscos de segurança depende de como o esquema de classificação é concebido e implementado.

E - Esquemas de rotulagem e tratamento da informação se aplicam aos ativos de informação em formato físico, ao passo que apenas o controle de acessos se aplica aos ativos de informação em formato lógico.

Essa alternativa está incorreta porque esquemas de rotulagem e tratamento da informação também são aplicáveis a ativos em formato lógico. A segurança da informação deve abranger ambos os formatos, físico e lógico, com práticas de rotulagem, tratamento e controle de acessos adequadas para cada caso.

Espero que esta explicação tenha esclarecido as razões pelas quais a alternativa C é a correta e as demais alternativas são incorretas.

Se precisar de mais alguma explicação ou tiver dúvidas, sinta-se à vontade para perguntar!

Fiquei em dúvida entre as alternativas b) e c).
Com relação à alternativa "b", na página 30 do pdf da referida norma está escrito o seguinte:
9.1.1 Perímetro de segurança física Controle Convém que sejam utilizados perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) para proteger as áreas que contenham informações e instalações de processamento da informação.
Com relação à alternativa "c", na página 32 do pdf está o seguinte:
9.1.1 Perímetro de segurança física
Diretrizes para implementação g) as instalações de processamento da informação gerenciadas pela organização devem ficar fisicamente separadas daquelas que são gerenciadas por terceiros.
Gente, já estou com muito sono, mas parece-me que o motivo da alternativa "b" estar ERRADA é o uso da palavra "deve" no lugar de "convém". Já a letra "c" está conforme está escrito na norma.

É isso mesmo, o erro da alternativa B está em dizer que se "deve utilizar". A norma 27002, diferentemente da norma 27001, não é taxativa, impositiva. Muitas das vezes, ao invés de nos deparamos com palavras como deve, obrigatório, teremos palavras como convém. Dessa forma, a norma 27002 é basicamente uma norma de recomendação de boas e melhores práticas.

Galera, a alternativa C também contém a palavra "devem", no entanto, é a correta.

Sobre a alternativa "A" usei este trecho para eliminar a questão 

Segundo a ISO 27002, "9.2.6 Reutilização e alienação segura de equipamentos

Informações adicionais

No caso de dispositivos defeituosos que contenham informações sensíveis, pode ser necessária uma

análise/avaliação de riscos para determinar se convém destruir fisicamente o dispositivo em vez de mandá-lo

para o conserto ou descartá-lo."

**Portanto, nem todo equipamento precisa ser destruído. Para tal, é necessária passar por uma análise/avaliação de riscos.

Me parece que o erro da alternativa "B" é que os perímetros de segurança (barreiras tais como paredes, portões de entrada controlados por cartão ou balcões de recepção com recepcionistas) são utilizados para proteger as áreas que contenham informações e instalações de processamento da informação, e NÃO para delimitar o perímetro de segurança.