Acerca das NBR ISO/IEC 27001, 27002 e 27005 e plano de conti...

A alternativa correta é a letra C. Vamos entender o porquê e discutir o tema abordado na questão.

O item trata da análise crítica de políticas de segurança da informação conforme os padrões das normas NBR ISO/IEC 27001, 27002 e 27005. Estas normas são fundamentais no estabelecimento e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI).

ISO/IEC 27001: Foca nos requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI.

ISO/IEC 27002: Fornece diretrizes e princípios gerais para a implementação de controles de segurança da informação.

ISO/IEC 27005: Trata da gestão de riscos de segurança da informação, oferecendo uma abordagem sistemática para identificar, avaliar e tratar riscos.

A política de segurança da informação deve ser revisada periodicamente para garantir que continua adequada e eficaz. A análise crítica mencionada na questão exige que essas políticas sejam ajustadas em resposta às mudanças no ambiente organizacional, nas circunstâncias do negócio, nas condições legais ou no ambiente de tecnologia, o que está completamente alinhado com as práticas recomendadas pela ISO/IEC 27002.

Portanto, a questão está correta ao afirmar que a análise crítica de políticas de segurança da informação deve apoiar o gerenciamento da segurança propondo melhorias em resposta às mudanças citadas.

Vamos justificar a alternativa correta:

C - certo: A análise crítica de políticas de segurança da informação é uma prática recomendada pelas normas ISO/IEC, especialmente pela 27002, e deve ser realizada para garantir a eficácia contínua do SGSI. Essa análise deve considerar mudanças no ambiente organizacional, nas circunstâncias do negócio, nas condições legais e no ambiente de tecnologia, propondo melhorias conforme necessário.

Não há necessidade de justificar alternativas incorretas, pois a questão é do tipo "julgamento" e não apresenta alternativas para serem comparadas.

Espero que essa explicação tenha sido clara e que tenha ajudado a entender a importância da análise crítica das políticas de segurança da informação conforme as normas ISO/IEC. Se tiver mais dúvidas, estou à disposição para ajudar!

Questão em conformidade com a 27005.

12.1 Convém que o processo de gestão de riscos de segurança da informação seja continuamente

monitorado, analisado criticamente e melhorado, quando necessário e apropriado.

É bom acrescentar ainda que o objetivo da norma é a melhoria continua do sistema de gestão de riscos.

Gab: Certo.

Foco!

O enunciado foi extraído da seção 5.1.2 Análise crítica das políticas para segurança da informação da ISO/IEC 27002:

"Diretrizes para implementação

Convém que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais ou ao ambiente de tecnologia."

JUSTIFICATIVA: CERTO. Convém que cada política de segurança da informação tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, análise crítica e avaliação das políticas de segurança da informação. Convém que a análise crítica inclua a avaliação de oportunidades para melhoria da política de segurança da informação da organização e tenha um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias do negócio, às condições legais, ou ao ambiente de tecnologia. Convém que a análise crítica das políticas de segurança da informação leve em consideração os resultados da análise crítica pela direção. Convém que seja obtida a aprovação da direção para a política revisada. (NBR ISO/IEC 27002:2013)