Os requisitos do negócio para o processamento de informação,...

A alternativa correta é: C - certo.

Vamos entender o porquê.

A questão aborda a relação entre os requisitos de negócio para o processamento de informação e a segurança da informação, conforme as normas NBR ISO/IEC 27001 e 27002. Essas normas são focadas na implementação e gestão de sistemas de segurança da informação.

De acordo com essas normas, as organizações devem identificar e documentar os requisitos de negócio para garantir que suas operações sejam suportadas de forma adequada. Esses requisitos de negócio são, sim, uma das fontes principais dos requisitos de segurança da informação. Isso porque os requisitos de segurança devem ser modelados de acordo com as necessidades e objetivos de negócio da organização.

Os requisitos de segurança da informação incluem uma variedade de aspectos, como a proteção contra acessos não autorizados, a manutenção da integridade e confidencialidade dos dados, e a disponibilidade das informações quando necessário. Esses aspectos são críticos para que a organização consiga operar de forma eficaz e segura.

Portanto, a afirmação de que os requisitos de negócio são uma das fontes principais de requisitos de segurança da informação está correta.

Agora, vamos analisar a alternativa incorreta, ou seja, se a afirmação fosse "E - errado".

Se a alternativa fosse "E - errado", estaríamos dizendo que os requisitos de negócio não são uma das fontes principais dos requisitos de segurança da informação. Isso estaria incorreto porque as normas NBR ISO/IEC 27001 e 27002 enfatizam precisamente a importância de alinhar os requisitos de segurança da informação com os objetivos e necessidades do negócio. Ignorar isso comprometeria a eficiência e a eficácia das medidas de segurança implementadas.

Em resumo, a alternativa "C - certo" está correta porque reflete o alinhamento necessário entre os requisitos de negócio e a segurança da informação, conforme estabelecido pelas normas ISO/IEC 27001 e 27002.

4  Sistema de gestão de segurança da informação
4.1 Requisitos gerais
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um
SGSI documentado dentro do contexto das atividades de  negócio globais da organização e os riscos que ela
enfrenta.

 

FONTE: ISO27001

Existem três fontes principais.

A primeira fonte é derivada da avaliação de risco dos ativos da organização. Através da avaliação de risco são identificadas as ameaças aos ativos, as vulnerabilidades e sua probabilidade de ocorrência é avaliada, bem como o impacto potencial é estimado.

A segunda fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros, contratados e prestadores de serviço têm que atender.

A terceira fonte é o conjunto particular de princípios, objetivos e requisitos para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.

Fonte: http://www.webartigos.com/articles/20197/1/SEGURANCA-DA-INFORMACAO/pagina1.html#ixzz1IZg8S8TU

O comentário anterior pode ser encontrado no item 0.3 da ISO 27002, assim descrito:

0.3 Como estabelecer requisitos de segurança da informação 

É essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.

1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente socioculturual.
3. A terceira fonte é um conjunto particular de princípios, objetivos e requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.

AINDA CORRETO CONFORME A VERSÃO DE 2013 DA NORMA

SEGUNDO A ISO 27002:2013,"0.2 Requisitos de segurança da informação
É essencial que uma organização identifique os seus requisitos de segurança da informação.
Existem três fontes principais de requisitos de segurança da informação.

c)A terceira fonte são os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações."