Em conformidade com as normas NBR 15999 e ABNT NBR 15999-2, ...

Alternativa correta: E - uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado.

Um Plano de Continuidade de Negócios (PCN) é um conjunto de medidas e procedimentos que visam garantir que uma organização continue operando durante e após uma situação de crise ou desastre. Este plano deve estar alinhado com normas específicas, como a NBR 15999 e a ABNT NBR 15999-2, que estabelecem diretrizes para sua elaboração e implementação.

A questão aborda a identificação de um componente essencial do PCN de acordo com essas normas. Vamos entender por que a alternativa E está correta e por que as demais estão incorretas.

Justificativa da Alternativa Correta (E): A alternativa E menciona "uma lista estruturada e priorizada de ações e tarefas que apresente a forma como o plano é ativado". Esta definição é crucial para um PCN, pois ele deve conter diretrizes claras e ordenadas sobre o que deve ser feito em caso de uma interrupção. A ativação do plano é um passo essencial que garante a eficácia e a rápida resposta em situações de emergência, minimizando os impactos negativos.

Análise das Alternativas Incorretas:

A - a análise e a avaliação dos riscos de segurança da informação que afetam os ativos organizacionais. Embora a análise e avaliação de riscos de segurança da informação sejam componentes importantes para a proteção dos ativos organizacionais, elas não são diretamente relacionadas ao conteúdo específico de um PCN conforme as normas mencionadas.

B - a definição dos controles técnicos que mitigam os riscos de segurança da informação. Similar à alternativa A, esta alternativa se refere a uma parte do gerenciamento de riscos de segurança da informação, que é importante, mas não o foco principal de um PCN. O PCN trata mais das ações e respostas a serem tomadas quando ocorrem interrupções.

C - uma lista das vulnerabilidades presentes nos ativos de processos organizacionais. Identificar vulnerabilidades é uma parte do processo de gestão de riscos, mas, novamente, não é específico ao conteúdo de um PCN conforme as normas NBR 15999 e ABNT NBR 15999-2. O PCN deve focar em ações reativas e preventivas para continuidade dos negócios.

D - a definição da equipe de pessoas responsáveis pela operação do programa de continuidade. Embora definir a equipe responsável seja uma parte importante do PCN, ela por si só não abrange a totalidade das ações e tarefas necessárias para ativar o plano. Apenas listar a equipe não garante a operacionalização efetiva do plano em uma situação de crise.

Espero que esta explicação tenha clarificado por que a alternativa E é a correta e por que as demais não se adequam ao contexto específico de um Plano de Continuidade de Negócios conforme as normas mencionadas. Qualquer dúvida ou se precisar de mais esclarecimentos, estou à disposição!

Alguém sabe me dizer pq não consigo resolver esta questão...?

Não é o melhor link, mas foi o que encontrei.  :-)))
http://pt.wikipedia.org/wiki/Plano_de_continuidade_de_neg%C3%B3cios

Convém que um PCN contenha seguintes elementos:

- Planos de ação/Listas de tarefas Convém que o plano de ação inclua uma lista estruturada de ações e tarefas em ordem de prioridade, destacando-se:

a) como o PCN é ativado;

b) as pessoas responsáveis por ativar o plano de continuidade de negócios;

c) o procedimento que esta pessoa deve adotar ao tomar esta decisão;

d) as pessoas que devem ser consultadas antes desta decisão ser tomada;

e) as pessoas que devem ser informadas quando a decisão for tomada;

f) quem vai para onde e quando;

g) quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros;

h) como e quando esta informação será comunicada; e

i) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.

Os planos devem referenciar as pessoas, instalações, tecnologia, informação, suprimentos e partes interessadas identificados na fase de estratégias. Devem ser incluídas premissas claras e detalhamentos sobre quaisquer recursos necessários para implementar os planos. Caso a falta de um serviço ou recurso torne os objetivos desse plano inalcançáveis, um procedimento claro deve ser definido para que o problema seja escalado a um nível mais alto.

Diante dessa informação, concluo que:
Item A - está errado porque essa análise e avaliação é feita antes, justamente para se criar o PCN.
Item D - está errado porque trata das pessoas responsáveis pela operação do programa de continuidade, quando o correto seria dizer responsáveis pela ativação do PCN.

Entendo que os riscos serão analisados e controlados na ISO 27005 (Gestão de Riscos de Tecnologia da Informação). Na Gestão da Continuidade os riscos são apenas AVALIADOS, então já descartei de cara as letras A e B. Fiquei na dúvida nas três últimas, por isso, destaco um trecho no material do prof. Sócrates Filho que me ajudou a resolver a questão:
O propósito de um plano de continuidade de negócios (PCN) é permitir que uma organização recupere ou mantenha suas atividades em caso de uma interrupção das operações normais de negócios. Os PCN são ativados para dar suporte às atividades críticas necessárias para cumprir os objetivos da organização, e podem ser executados integral ou parcialmente e em qualquer etapa da resposta a um incidente. O conteúdo do PCN envolve: 1) Planos de ação, que contenham uma lista de ações e tarefas em ordem de prioridade, de forma a descrever: a) como o PCN é ativado; b) as pessoas responsáveis por ativar o plano; c) o procedimento que esta pessoa deve adotar; d) as pessoas que devem ser consultadas antes e informadas quando a decisão for tomada; e) quais serviços estão disponíveis, aonde e quando; f) como e quando esta informação será comunicada; e g) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc. 2) Recursos necessários para a continuidade e recuperação dos negócios (pessoas, instalações, tecnologias, informações, suprimentos e partes interessadas) em diferentes pontos no tempo. 3) Responsáveis para gerenciar as fases da continuidade e da recuperação dos negócios que ocorrem após uma interrupção de serviços. 4) Formulários para registro de incidentes ou de informações vitais e anexos contendo detalhes de contato atualizados das agências pertinentes internas e externas, organizações e fornecedores que possam ser necessários para o suporte da organização.
 

8.7 Conteúdo do PCN
8.7.2 Planos de ação/Listas de tarefas
Convém que o plano de ação inclua uma lista estruturada de ações e tarefas em ordem de prioridade, destacando-se:
a) como o PCN é ativado;
b) as pessoas responsáveis por ativar o plano de continuidade de negócios;
c) o procedimento que esta pessoa deve adotar ao tomar esta decisão;
d) as pessoas que devem ser consultadas antes desta decisão ser tomada;
e) as pessoas que devem ser informadas quando a decisão for tomada;
f) quem vai para onde e quando;
g) quais serviços estão disponíveis, aonde e quando, incluindo como a organização mobilizará seus recursos externos e de terceiros;
h) como e quando esta informação será comunicada; e
i) se relevante, procedimentos detalhados para soluções manuais, recuperação dos sistemas etc.

8.7.3 Recursos necessários
Convém que os recursos necessários para a continuidade e recuperação dos negócios sejam identificados em diferentes pontos no tempo. Estes podem incluir:
a) pessoas, o que pode incluir:
⎯ segurança,
⎯ logística de transporte,
⎯ necessidades de bem-estar e
⎯ gastos de emergência;
b) instalações;
c) tecnologia, incluindo comunicações;
d) informações, o que pode incluir:
⎯ detalhes financeiros (por exemplo, folha de pagamento),
⎯ registros de contas de clientes,
⎯ detalhes de fornecedores e partes interessadas,
⎯ documentos legais (por exemplo, contratos, apólices de seguro, escrituras etc.), e
⎯ outros documentos de serviços (por exemplo, acordos de nível de serviços);
e) suprimentos; e
f) gestão das partes interessadas e da comunicação com estas.

 

8.7.4 Responsáveis
Convém que a organização identifique e designe um responsável para gerenciar as fases da continuidade e da recuperação dos negócios que ocorrem após uma interrupção de serviços.

 

8.7.5 Formulários e anexos
Quando apropriado, convém que o PCN possua detalhes de contato atualizados das agências pertinentes internas e externas, organizações e fornecedores que possam ser necessários para o suporte da organização.
Convém que o plano de continuidade de negócios inclua um registro de incidentes ou formulários para o registro
de informações vitais, principalmente como conseqüência de decisões tomadas durante sua execução.

 

Fonte: ISO NBR 15999-1:2007, pág. 37

Plano de continuidade de negócio -> serviços essenciais sejam devidamente identificados preservados após a ocorrência de um desastre

Não desiste!