A Norma NBR ISO/IEC 27001 estabelece o código de prática par...

Alternativa correta: E - errado

Para compreender o erro na afirmativa apresentada na questão, é essencial diferenciar as funções das Normas NBR ISO/IEC 27001 e 27002 no contexto da gestão de segurança da informação.

A NBR ISO/IEC 27001 é a norma que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI). Ela oferece o framework para a gestão de segurança da informação que permite a uma organização avaliar os riscos e implementar as devidas medidas de segurança.

Por outro lado, a NBR ISO/IEC 27002 fornece as melhores práticas e diretrizes para controles de segurança da informação. Ela funciona como um guia de referência para a implementação de controles especificados na ISO/IEC 27001, constituindo um conjunto de recomendações para ajudar na seleção e no tratamento de controles seguindo os processos estabelecidos pela ISO/IEC 27001.

Portanto, a questão está errada porque inverteu as finalidades das normas: a ISO/IEC 27001 é que estabelece os requisitos dos sistemas de gestão de segurança da informação, enquanto a ISO/IEC 27002 descreve as práticas recomendadas para gerenciar a segurança da informação.

Questão errada.

A CESPE inverteu o significado das normas. É justamente o inverso, coisa do CESPE.

 A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

O CESPE inverteu os significados das Normas.

A Norma NBR ISO/IEC 27001 trata dos requisitos dos sistemas de gestão de segurança da informação, enquanto a Norma NBR ISO/IEC 27002 - antiga NBR ISO/IEC 17799 - estabelece o código de práticas para a gestão da segurança da informação.

Em outras palavras, a 27001 nos dá as diretrizes enquanto que a 27002 nos dá as boas práticas.