Com base na NBR ISO/IEC 17799, julgue os itens que se seguem...

A alternativa correta é a Alternativa C - certo.

A questão aborda a Política de Segurança da Informação conforme as diretrizes da NBR ISO/IEC 17799. Para compreender adequadamente essa questão, é essencial entender o que essa norma representa e quais são suas exigências básicas em relação à política de segurança da informação.

A NBR ISO/IEC 17799, atualmente conhecida como ISO/IEC 27002, fornece diretrizes e princípios para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização. Entre os elementos fundamentais que devem ser incluídos na Política de Segurança da Informação, destacam-se o escopo e a declaração de comprometimento da alta direção da organização.

Justificativa da Alternativa Correta:

O documento que descreve a Política de Segurança da Informação deve conter, de forma clara e precisa, o escopo da política. O escopo define os limites e abrangências da política, especificando quais ativos e áreas da organização estão sujeitos a essas diretrizes de segurança.

Além disso, uma parte crucial da política é a declaração de comprometimento da alta direção. Esse comprometimento é essencial para garantir que a política de segurança seja levada a sério em todos os níveis da organização e que os recursos necessários sejam disponibilizados para sua implementação e manutenção. Sem o suporte da alta administração, a política tende a falhar em sua efetividade.

Portanto, ao afirmar que o documento deve conter tanto o escopo quanto a declaração de comprometimento da alta direção, a alternativa C está correta, pois está em conformidade com as diretrizes da ISO/IEC 17799.

Alternativas Incorretas:

Não há outras alternativas apresentadas na questão para serem discutidas. No entanto, é importante destacar que qualquer afirmação que desconsiderasse a necessidade do escopo ou a declaração de comprometimento da alta direção estaria incorreta, pois esses são componentes essenciais de uma política de segurança da informação segundo a ISO/IEC 17799.

Espero que esta explicação tenha ajudado a entender melhor o tema e os conceitos exigidos pela NBR ISO/IEC 17799. Se tiver mais dúvidas ou precisar de mais informações, estou à disposição!

CERTO.

Segundo a ISO 27002(17799),"5.1.1 Documento da política de segurança da informação

Diretrizes para implementação

Convém que o documento da política contenha declarações relativas a:

a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação (ver introdução);

b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio;"

Isto não existe mais na 27002:2013. Se a questão fosse em relação à nova versão, seria ERRADA.

Até com a norma antiga eu marcaria errado.

A questão fala "Deve conter" na norma fala "Convém que contenha"

Na nova ISO 27002:2013,p.8, há esta redação aqui: "

Convém que a política de segurança da informação contenha declarações relativas a:
a) definição da segurança da informação, objetivos e princípios para orientar todas as atividades relativas à segurança da informação;
b)atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segurança da informação para os papéis definidos;
c)processos para o tratamento dos desvios e exceções."