Com base na Norma NBR ISO/IEC n.o 27001:2013, o Sistema de ...

A alternativa correta é A - gestão de riscos.

A Norma NBR ISO/IEC 27001:2013 estabelece requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Este sistema tem como objetivo fundamental preservar a confidencialidade, integridade e disponibilidade da informação. Para atingir esses objetivos, é crucial a aplicação de uma gestão de riscos eficaz.

A gestão de riscos é o processo pelo qual as ameaças e vulnerabilidades são identificadas e avaliadas, e medidas apropriadas são implementadas para mitigar ou eliminar esses riscos. Este processo inclui etapas como a identificação dos ativos de informação, a avaliação das ameaças e vulnerabilidades associadas, a análise do impacto potencial e a implementação de controles para minimizar os riscos.

Agora, vamos analisar por que as outras alternativas estão incorretas:

B - gestão de qualidade: Embora a gestão de qualidade seja importante para garantir que os processos e produtos de uma organização atendam aos requisitos e expectativas, ela não é o foco principal no contexto específico da proteção da informação segundo a ISO/IEC 27001:2013. A qualidade diz respeito mais à eficácia e eficiência dos processos organizacionais, e não diretamente à segurança da informação.

C - gestão de mudanças: A gestão de mudanças é vital para controlar as alterações nos sistemas de TI e nos processos organizacionais, garantindo que sejam realizadas de maneira controlada e minimizando os riscos de impacto negativo. No entanto, a gestão de mudanças por si só não aborda diretamente a confidencialidade, integridade e disponibilidade da informação, que são centrais na gestão de riscos.

D - definição do escopo: Definir o escopo é uma etapa importante no planejamento e implementação de um SGSI, pois delimita quais áreas e ativos estarão sob proteção. No entanto, a definição do escopo não é um processo contínuo de avaliação e tratamento de riscos, não sendo suficiente por si só para preservar a segurança da informação.

E - papéis e responsabilidades: Estabelecer papéis e responsabilidades é crucial para garantir que todos na organização saibam suas funções e responsabilidades em relação à segurança da informação. Porém, isso é parte da governança do SGSI e não substitui a necessidade de uma gestão de riscos contínua e abrangente.

Portanto, a gestão de riscos é essencial para preservar a confidencialidade, integridade e disponibilidade da informação, conforme requerido pela Norma NBR ISO/IEC 27001:2013, o que justifica a escolha da alternativa A.