De acordo com a norma ABNT NBR ISO/IEC 27002,

Vamos analisar a questão com base na norma ABNT NBR ISO/IEC 27002 e identificar a alternativa correta.

A alternativa correta é a A.

Comentário:

Alternativa A: Esta alternativa está correta porque, de acordo com a norma ISO 27002, é essencial que a organização defina e implemente procedimentos para rotulação e tratamento da informação com base no esquema de classificação adotado. Esses procedimentos devem abranger tanto os ativos de informação em formato físico quanto eletrônico. A rotulação adequada facilita a proteção e o manuseio correto das informações sensíveis.

Alternativa B: Esta alternativa está incorreta porque a avaliação do nível de proteção da informação não se limita exclusivamente à confidencialidade, integridade e disponibilidade. Embora esses sejam os princípios fundamentais da segurança da informação (conhecidos como a tríade CIA), a ISO 27002 também considera outros aspectos, como a autenticidade e a responsabilidade.

Alternativa C: Esta alternativa está incorreta, pois, segundo a ISO 27002, os inventários de ativos não devem ser duplicados. A duplicação de inventários pode levar à inconsistência de dados e dificultar a gestão dos ativos. A norma recomenda que um inventário completo e coerente seja mantido, o que facilita a recuperação em caso de desastre e a gestão dos ativos.

Alternativa D: Esta alternativa está incorreta porque a classificação da informação não só determina como ela será tratada, mas também como será protegida. A classificação orienta a aplicação de controles de segurança específicos para proteger adequadamente a informação com base em sua sensibilidade e importância.

Alternativa E: Esta alternativa está incorreta, pois é crucial que o proprietário e a classificação da informação sejam acordados e documentados para cada ativo. Isso garante que os ativos recebam o nível apropriado de proteção com base na sua importância e valor para o negócio. A documentação desses aspectos é fundamental para a gestão eficaz da segurança da informação.

Espero que esta explicação tenha sido clara e tenha ajudado a compreender melhor os conceitos da ISO 27002. Se precisar de mais algum esclarecimento, estou à disposição!

Segundo a ISO 27002

    a) convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização. Os procedimentos para rotulação da informação precisam abranger tanto os ativos de informação no formato físico quanto no eletrônico. (Correto)

    b) o nível de proteção à informação é avaliado analisando-se exclusivamente a confidencialidade, a integridade e a disponibilidade   da informação   valor, requisitos legais, sensibilidade e criticidade para a organização. (7.2.1 Recomendações para classificação)

    c) convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido para o caso da recuperação de um desastre. É conveniente que esse inventário duplique outros inventários para garantir que as informações estejam sempre disponíveis, mesmo que o conteúdo não esteja totalmente coerente.

    d) a classificação dada à informação é uma maneira de determinar como esta informação será tratada, mas e não como será protegida.

    e) não é conveniente que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos, entretanto, convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados.

Qual é o erro da Letra e ?

c) não é conveniente que o proprietário e a classificação da informação sejam acordados e documentados para cada um dos ativos, entretanto, convém que, com base na importância do ativo, seu valor para o negócio e a sua classificação de segurança, níveis de proteção proporcionais à importância dos ativos sejam identificados.

É convenienete sim. Um exemplo da vida real é que em escritórios todos os ativos são tombados. São identificados cadeiras, computadores etc.. cada um tem uma identificação, um número de tombo.

Esgundo a norma diz o contrário. O erro da questão é o "não".

Segundo a norma ISO 27002 É conveniente  que cada ativo seja identificado(documentado).

LETRA A.

Segundo a ISO 27002:2013,"8.2.2 Rótulos e tratamento da informação
Controle
Convém que um conjunto apropriado de procedimentos para rotular e tratar a informação seja desenvolvido e implementado de acordo com o esquema de classificação da informação adotado pela organização.

Diretrizes para implementação
Convém que procedimentos para a rotulação da informação abranjam a informação e os seus ativos relacionados, nos formatos físico e eletrônico."