No que diz respeito à classificação da informação é correto...

A alternativa correta é a B: "Um sistema de classificação da informação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento."

Para entender essa afirmação, é essencial reconhecer a importância da classificação da informação em ambientes organizacionais. A classificação da informação é um processo estruturado onde informações são categorizadas de acordo com o seu nível de sensibilidade e o potencial impacto que a sua divulgação não autorizada poderia causar à organização. Com um sistema de classificação eficaz, a organização consegue aplicar medidas de segurança e controle apropriadas que são proporcionais ao valor da informação.

Ao classificar informações, utiliza-se critérios como confidencialidade, integridade e disponibilidade (CID) para definir a importância da informação e, consequentemente, o nível de proteção necessário. Isso auxilia na tomada de decisão sobre quais salvaguardas devem ser implementadas, como criptografia, controle de acesso ou procedimentos de manuseio especial.

Por isso, a alternativa B está correta porque reflete a necessidade de um sistema de classificação para orientar a proteção e o tratamento da informação de maneira adequada, baseada em sua importância e sensibilidade. Esse sistema assegura que os recursos de segurança sejam empregados de forma eficiente, protegendo informações críticas e sensíveis de forma mais intensiva do que informações públicas ou menos sensíveis.

A) "O mesmo nível de proteção deve ser identificado e aplicado a todos os ativos de informação." O erro está em dizer que o mesmo nível de proteção deve ser aplicado a todos os ativos.

B) Correto

C) ISO 27002, 7.2.1 - Recomendações para classificação: Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

D) ISO 27002, 7.2.1 - Convém que seja de responsabilidade do proprietário do ativo definir a classificação de um ativo, analisando-o a intervalos regulares, e assegurar que ele está atualizado e no nível apropriado.

E) Errado por motivos óbvios.

Seção 7: Gestão de Ativos

Classificação da informação. Objetivo: Assegurar que a informação receba um nível adequado de proteção. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

Fonte: ISO/IEC 17779