Analise as afrmativas abaixo com relação à norma ABNT NBR I...

A alternativa correta é a D.

A questão aborda a norma ABNT NBR ISO/IEC 27002:2005, que é um padrão internacional para a gestão da segurança da informação, fornecendo práticas recomendadas para controle de segurança.

Vamos analisar cada afirmativa e entender porque a alternativa D é a correta:

1. "A legislação vigente a que a organização e seus parceiros de negócio devem atender é uma fonte de requisitos de segurança da informação."

Esta afirmativa está correta. A legislação e regulamentações aplicáveis são fundamentais para definir os requisitos de segurança da informação, garantindo conformidade legal e proteção adequada dos dados.

2. "A análise/avaliação de riscos para a organização leva em consideração as estratégias globais de negócio da organização."

Esta afirmativa está correta. A análise de riscos deve alinhar-se às estratégias de negócio para garantir que as medidas de segurança suportem os objetivos organizacionais.

3. "A análise/avaliação de riscos deve ser repetida periodicamente para contemplar mudanças que possam alterar os resultados dessa análise/avaliação."

Esta afirmativa está correta. A segurança da informação é um processo dinâmico e requer revisões periódicas para adaptar-se a novas ameaças, vulnerabilidades e mudanças no ambiente de negócios.

4. "A norma define critérios para determinar se os riscos encontrados podem ser aceitos ou não."

Esta afirmativa está incorreta. A norma ISO/IEC 27002 fornece diretrizes e práticas recomendadas, mas não define critérios específicos para aceitação de riscos. A aceitação de riscos é uma decisão que cabe à organização, baseada em sua política de gestão de riscos.

5. "Uma possível opção para o tratamento do risco é transferir o risco associado para outras partes, como por exemplo, fornecedores ou seguradoras."

Esta afirmativa está correta. A transferência de risco é uma estratégia válida e envolve passar a responsabilidade para terceiros, como ao contratar seguros ou ao firmar contratos com fornecedores que assumem certos riscos.

Portanto, as afirmativas corretas são 1, 2, 3 e 5, o que confirma que a alternativa correta é a D.

Alternativas incorretas:

A - São corretas apenas as afirmativas 1, 2 e 4.

Incorreta porque a afirmativa 4 está incorreta.

B - São corretas apenas as afirmativas 3, 4 e 5.

Incorreta porque a afirmativa 4 está incorreta.

C - São corretas apenas as afirmativas 1, 2, 3 e 4.

Incorreta porque a afirmativa 4 está incorreta.

E - São corretas apenas as afirmativas 2, 3, 4 e 5.

Incorreta porque a afirmativa 4 está incorreta.

1. e 2.)Segundo a ISO 27002,"0.3 Como estabelecer requisitos de segurança da informação

Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. [...]

Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais 

que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender,  

3.)0.4 Analisando/avaliando os riscos de segurança da informação

Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.

4.)4.2 Tratando os riscos de segurança da informação

Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem ser ou não aceitos."

5.)4.2 Tratando os riscos de segurança da informação

Possíveis opções para o tratamento do risco, incluem:

d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

---------------------------------

**A ALTERNATIVA 4 É EXTREMAMENTE CAPCIOSA. =/ MALDITO EXAMINADOR!