Um profissional de segurança da informação deve compreender ...

Sendo a alternativa E a correta, vamos analisar cada uma das afirmativas e entender o porquê dessa escolha.

Afirmativa I: "A norma foi originalmente publicada como NBR ISO/IEC 27001, sendo atualizada com o objetivo de fornecer recomendações básicas e mínimas para a gestão de segurança da informação nas organizações."

Essa afirmativa está incorreta. A NBR ISO/IEC 27001 e a NBR ISO/IEC 27002 são normas distintas. A ISO/IEC 27001 é uma norma que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), enquanto a ISO/IEC 27002 fornece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Portanto, é incorreto afirmar que a ISO/IEC 27002 foi originalmente a ISO/IEC 27001.

Afirmativa II: "Para que o processo de segurança da informação de uma organização tenha sucesso, é necessário que os regulamentos estejam alinhados com os objetivos do negócio e a forma de implementação seja coerente com a cultura organizacional."

Essa afirmativa está correta. Os processos e regulamentos de segurança da informação devem estar alinhados com os objetivos estratégicos da organização e adaptados à sua cultura organizacional. Isso é fundamental para garantir que a segurança da informação seja efetiva e bem aceita por todos os colaboradores.

Afirmativa III: "Para proteger adequadamente a informação, é necessário que se tenha a identificação dos ativos de informação, seus responsáveis, sua forma de uso e classificação em termos de sigilo."

Essa afirmativa também está correta e é um ponto essencial abordado pela ISO/IEC 27002. A identificação e a classificação dos ativos de informação, a definição de responsáveis e a determinação de como esses ativos são usados são fundamentais para que se possa implementar controles de segurança adequados e proteger a informação de acordo com seu nível de sigilo.

Portanto, a alternativa correta é E - II e III, pois ambas as afirmativas estão de acordo com os princípios e diretrizes da norma ISO/IEC 27002, enquanto a afirmativa I contém um erro conceitual sobre a origem e o objetivo específico das normas NBR ISO/IEC 27001 e 27002.

Espero que esta explicação tenha esclarecido suas dúvidas e ajudado a compreender melhor o conteúdo da ISO/IEC 27002. Caso tenha mais perguntas, estou à disposição.

I. A norma foi originalmente publicada como NBR ISO/IEC 27001, sendo atualizada com o objetivo de fornecer recomendações básicas e mínimas para a gestão de segurança da informação nas organizações.

Única alternativa Errada.

NBR ISO/IEC 27001 Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799 e revisada em 2013-2 para certificação de sistema de gestão de segurança da informação. A norma ISO 27002 é uma norma totalmente diferente dessa, apesar de ambas tratarem da segurança da informação.

https://pt.wikipedia.org/wiki/ISO_27001

A norma iso 27002 foi publicada originalmente como iso 17799.

Questão ambígua. Na II: quais regulamentos? Leis ou normas internas da organização?

No item II o texto parece invertido. Dá a impressão que é preciso que a ISO 27001 (regulamentos) que deve se adequar às empresas, e não o contrário.