A política de segurança consiste em um conjunto formal de r...

Olá, aluno! Vamos entender a questão sobre Políticas de Segurança da Informação e analisar as alternativas apresentadas.

A alternativa correta é a alternativa D: "O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança."

Agora, vamos detalhar a justificativa de cada uma das alternativas:

Alternativa A: "Os procedimentos de recuperação da informação, em caso de sinistro, devem estar claramente definidos na política de segurança."

Embora os procedimentos de recuperação da informação sejam importantes, eles geralmente são detalhados em um plano de continuidade de negócios ou um plano de recuperação de desastres, mas não na política de segurança. A política de segurança foca nas regras e diretrizes gerais de proteção da informação.

Alternativa B: "A elaboração da política de segurança deve se basear na norma para a gestão de segurança da informação NBR ISO/IEC 17025:2005."

A norma NBR ISO/IEC 17025:2005 é específica para requisitos gerais de competência de laboratórios de ensaio e calibração, não para a gestão de segurança da informação. Já a norma apropriada para a gestão de segurança da informação é a ISO/IEC 27001, por exemplo.

Alternativa C: "A política de segurança deve ser mantida em sigilo, cabendo à alta direção da empresa sua elaboração, aprovação e guarda."

Uma política de segurança deve ser de conhecimento de todos os colaboradores da instituição, pois ela estabelece as diretrizes que todos devem seguir. Manter essa política em sigilo iria contra seu propósito de orientar e regulamentar o comportamento dos usuários.

Alternativa D: "O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança."

Essa alternativa está correta. A política de segurança deve focar nas diretrizes e regras gerais. Aspectos técnicos e específicos de implementação são geralmente detalhados em documentos separados, como manuais técnicos ou procedimentos operacionais padrão.

Alternativa E: "Os direitos e as responsabilidades dos usuários e técnicos de TI estão fora do escopo da política de segurança."

Na verdade, os direitos e responsabilidades dos usuários e técnicos de TI são um componente essencial da política de segurança. Precisamos deixar claro o que cada grupo pode ou não fazer e quais são suas obrigações para garantir a proteção da informação.

Espero que essa explicação tenha ajudado a entender melhor o tema. Se tiver mais dúvidas, estarei aqui para ajudar!

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

Vou ter que ler a Wikipedia, se o elaborador desta prova retirou desta fonte, que em termos de segurança de uma informação (qualquer um coloca o que quiser), está totalmente sem noção.

Gabarito: letra A

O documento que define a política de segurança deve deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo. Deve ser também um documento de fácil leitura e compreensão, além de resumido.

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

Discordo do gabarito dessa Banca. ao meu ver essa a resposta mais correta é a (A).