Relativamente a segurança da informação, julgue o item subse...

A alternativa correta é E - errado.

Vamos analisar a questão e entender o contexto. A NBR ISO 27002 é uma norma internacional que fornece diretrizes para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Ela abrange uma ampla gama de controles de segurança que podem ser aplicados conforme as necessidades individuais das organizações.

A questão aborda dois tipos de controle de acesso distintos: o controle de acesso lógico e o controle de acesso físico. Vamos entender cada um deles:

Controle de Acesso Lógico: Refere-se a políticas, procedimentos e medidas que controlam o acesso a sistemas e dados digitais. Isso inclui autenticação de usuários, permissões de acesso baseadas em funções (role-based access control), firewalls, criptografia, entre outros. Em outras palavras, é o conjunto de medidas que protege o acesso aos recursos informáticos de uma organização.

Controle de Acesso Físico: Refere-se a políticas e medidas para proteger o acesso físico aos locais onde os recursos da informação são armazenados, como servidores, data centers, salas de arquivo, entre outros. Isso pode incluir segurança de portas, cartões de acesso, vigilância por câmeras, guardas de segurança, etc.

A questão afirma que a política de controle de acesso deve tratar exclusivamente do controle de acesso lógico, enquanto a política de segurança física e do ambiente deve tratar do controle de acesso físico. Esta afirmação está incorreta. Na prática, a política de controle de acesso abrange tanto o acesso lógico quanto o físico, enquanto a política de segurança física e do ambiente é focada na proteção dos espaços físicos e do ambiente onde os dados são armazenados e processados.

Portanto, a alternativa correta é E - errado, pois a afirmativa não está de acordo com os princípios da NBR ISO 27002.

Segundo a ISO 27002:2013,

"9.1.1 Política de controle de acesso

Diretrizes para implementação

Convém que sejam considerados os controles de acesso lógico e físico (Ver 11) de forma conjunta."

SEÇÃO DE CONTROLE: CONTROLE DE ACESSO

OBJETIVO DE CONTROLE: Limitar o acesso à informação e aos recursos de processamento da informação

CONTROLE: Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios (considerando acessos lógico e físico; filosofia do "tudo é proibido a menos que expressamente permitido") .

11.1.1 Política de controle de acesso

Controle
Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente,
tomando-se como base os requisitos de acesso dos negócios e segurança da informação.

Diretrizes para implementação
Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam
expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e
físico (ver seção 9) de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma
declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos.

ISO 27002:2013

A questão não está objetiva, mas a forma que está escrita induz que sejam controles aplicados separadamente, o que está ERRADO

9  Controle de acesso

9.1   Requisitos do negócio para controle de acesso

9.1.1  Política de controle de acesso
Controle
Convém que uma política de controle de acesso seja estabelecida, documentada e analisada critica­mente, baseada nos requisitos de segurança da informação e dos negócios.
Diretrizes  para implementação

Convém que os proprietários dos ativos determinem regras apropriadas do controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados."Convém que sejam considerados os controles de acesso lógico e físico (ver Seção 11) de forma con­junta."
 

Fonte: ABNT NBR ISO/IEC 27002:2013