De acordo com a norma ABNT NBR ISO/IEC 27002:2005, é conveni...

A alternativa correta é C - a Política de Segurança da Informação. Vamos entender por que essa é a resposta correta e as razões pelas quais as outras alternativas estão incorretas.

Explicação da Alternativa Correta:

A Política de Segurança da Informação é um documento essencial dentro da norma ABNT NBR ISO/IEC 27002:2005, que estabelece diretrizes e princípios para garantir a segurança da informação. Este documento deve conter:

1. Declaração do comprometimento da direção: A direção deve mostrar apoio às metas e princípios da segurança da informação, alinhando-os com os objetivos e estratégias do negócio.

2. Estrutura para estabelecer objetivos de controle e controles: Inclui a estrutura de análise/avaliação e gerenciamento de risco.

3. Definição de responsabilidades: Especifica responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro de incidentes de segurança.

Esses elementos são fundamentais para criar uma política robusta que guie a organização na proteção de suas informações.

Explicação das Alternativas Incorretas:

A - o Plano de Tratamento de Riscos: Este documento é específico para definir como os riscos identificados serão tratados. Ele não aborda a declaração do comprometimento da direção ou a estrutura para estabelecer objetivos de controle de maneira abrangente.

B - o Plano de Recuperação de Desastres: Este plano é direcionado para procedimentos de recuperação de sistemas e dados após um desastre. Não inclui a definição de responsabilidades na gestão de segurança da informação ou uma declaração de comprometimento da direção.

D - o Plano de Contingência: Este plano descreve como a organização responderá a incidentes inesperados. Embora importante, ele não cobre todos os aspectos mencionados na questão, como o compromisso da direção com a segurança da informação.

E - o Plano de Continuidade do Negócio: Este documento descreve os processos para manter as operações do negócio em casos de interrupções. Ele não aborda de maneira direta a estrutura para estabelecer objetivos de controle ou a definição de responsabilidades específicas na gestão da segurança da informação.

Espero que esta explicação tenha ajudado a esclarecer suas dúvidas sobre a norma ABNT NBR ISO/IEC 27002:2005 e a importância da Política de Segurança da Informação. Caso tenha mais perguntas ou precise de mais detalhes, estarei à disposição para ajudar!

LETRA C.

Segundo a ISO 27002,"5.1.1 Documento da política de segurança da informação

Convém que o documento da política contenha declarações relativas a:

b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;

c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação;

Gabarito C

A Política de Segurança da Informação (PSI) é um documento que deve conter um conjunto de normas, métodos e procedimentos, os quais devem ser comunicados a todos os funcionários, bem como analisado e revisado criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias. É o SGSI que vai garantir a viabilidade e o uso dos ativos somente por pessoas autorizadas e que realmente necessitam delas para realizar suas funções dentro da empresa. (FONTES, 2006)

Para se elaborar uma Política de Segurança da Informação, deve se levar em consideração a NBR ISO/IEC 27001:2005, que é uma norma de códigos de praticas para a gestão de segurança da informação, onde podem ser encontradas as melhores práticas para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.

"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !