A norma NBR ISO/IEC 15999 destina-se a orientar as empresas ...

Alternativa correta: E - Errado

A questão aborda normas fundamentais para a gestão de riscos e continuidade de negócios, especificamente as normas NBR ISO/IEC 15999 e NBR ISO/IEC 27005. Para resolver a questão corretamente, é crucial compreender o escopo e os objetivos de cada norma.

NBR ISO/IEC 15999: Essa norma tem o foco principal em fornecer um guia para a gestão da continuidade de negócios. Ela não é destinada a orientar as empresas sobre como responder a incidentes após sua ocorrência, mas sim a planejar a continuidade das operações de negócios em caso de interrupções significativas. Portanto, ela cobre o desenvolvimento, implementação e manutenção de planos de continuidade de negócios (BCP - Business Continuity Plans).

NBR ISO/IEC 27005: Essa norma é específica para a gestão de riscos em sistemas de informação, parte do conjunto de normas ISO/IEC 27000 para a segurança da informação. Ela fornece diretrizes sobre como realizar avaliações de risco, gerenciar riscos e implementá-los dentro de um sistema de gestão de segurança da informação (SGSI).

Agora, vamos à análise da questão e à justificativa para a alternativa correta:

A questão afirma que a norma NBR ISO/IEC 15999 se destina a orientar as empresas no que fazer após a ocorrência de um incidente, oferecendo respostas às ameaças e seus impactos nas operações de negócios. No entanto, essa declaração é incorreta. A norma correta para lidar diretamente com a gestão dos riscos e das respostas aos incidentes seria mais alinhada com a ISO/IEC 27005.

Portanto, a classificação correta para a afirmação dada na questão é Errado (E).

Pontos chave para lembrar:

• ISO/IEC 15999 - Foco na continuidade de negócios e desenvolvimento de planos para manter operações críticas durante interrupções.
• ISO/IEC 27005 - Foco na gestão de riscos de segurança da informação, incluindo identificação, avaliação e tratamento de riscos.

Espero que essa explicação tenha facilitado a compreensão das normas e ajudado na resolução da questão. Se precisar de mais esclarecimentos, estou à disposição!

ERRADO.

A 15999 trata da continuidade do negócio. Continuidade é usado em momentos crítico de desastre.

Leoh sua resposta não foi muito convincente:

Copiando um email do Rogério Araújo:

" O meu entendimento, ao ler a questão, foi:

Parte I: "A norma NBR ISO/IEC 15999 destina-se a orientar as empresas no
que fazer a partir do momento em que acontecer algum incidente...":

Essa parte, tudo bem. Podemos aceitar a orientação como certa.

Parte II: "... oferecendo respostas às ameaças sofridas e seus impactos nas
operações do negócio":

Essa parte está errada pelo fato que a norma não oferece respostas às
ameaças sofridas e seus impactos nas operações do negócio.

Se lermos parte à parte, podemos entender que o "oferecendo" se refere à
norma e não sobre o possível GCN feito a partir da orientação da norma."

Fonte: http://br.groups.yahoo.com/group/timasters/message/62883

Preliminarmente, não há uma norma 15999, e sim 15999-1 e 15999-2 Escopo 15999-2: Especifica requisitos para EIOMAMM o SGCN documentado dentro do contexto dos riscos de negócios de toda a organização. Pode certificar.
Escopo 15999-1: Fornece uma base para que se possa entender, desenvolver e implementar a continuidde de negócios em uma organização além de obter confiança nos negócios da organização com clientes e outras organizações. Permite também que se avalie a capacidade de GCN da organização de maneira consistente e reconhecida.

Notem que ambas possuem um escopo de gestão, estratégico e não operacional.
Segundo a norma, o GCN possui um ciclo de vida com as seguintes fases:  
5. Gestão do programa de GCN
6. Entendendo a organização
7. Determinando a estratégia de continuidade de negócios
8. Desenvolvendo e implementando uma resposta de GCN
9. Testando, mantendo e analisando criticamente os preparativos de GCN
10. Incluindo a GCN na cultura da organização

A norma NBR ISO/IEC 15999: 1.destina-se a orientar as empresas no que fazer a partir do momento em que acontecer algum incidente
Errado: Não há em nenhuma das normas a intenção de orientar o que fazer quando da ocorrência de incidente.
Para isso seriam necessários controles e metodologias que fogem ao escopo destas normas. Há tão-só o objetivo de se gerir a continuidade do negócio e o estabelecimento de planos subsidiários. A norma se quer prescreve como fazer um plano, muito menos orienta sobre procedimentos contra incidentes.
  2. oferece respostas às ameaças sofridas e seus impactos nas operações do negócio. Errado: A seção 8 está relacionada ao desenvolvimento e implementação de planos apropriados e dos preparativos realizados, de forma a garantir a continuidade das atividades críticas e o gerenciamento de incidentes. Nessa seção, há orientações sobre a definição de uma estrutura de resposta a incidentes (8.2), mas não elenca procedimentos para responder a ameaças e seus impactos.

concordo com o amigo da primeira resposta. A norma é para evitar catastrofes e responder a incidentes que possam paralizar a organização. A questão é ruim em não especificar o tipo de incidente.