NÃO contém apenas ativos de informação classificados pela no...

Resposta: letra "b"

Justificativa: De acordo com a norma 27002, Capítulo 7 - Gestão de Ativos, nas informações adicionais sobre 7.1.1 Inventário dos ativos temos o seguinte:

Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.

Todos os outros ativos presentes nos outros ítens ("a", "c", "d" e "e") são ativos de informação:

Ativos de informação: base de dados de arquivos, contratos e acordos documentação do sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade de negócios, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

Ou seja, tudo relativo a informações, que podem ser até fatores estratégicos para o sucesso da organização.  A questão trata de Gestão de Ativos (Norma NBR ISO 27002 - seção 7.1.1). Segundo a norma convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. Existem vários tipos de ativos e eles podem ser classificados como:
1 - Ativos de informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;

2 - Ativos de software: aplicativos, ssistemas, ferramentas de desenvolvimento e utilitários;

3 - Ativos físicos: equipamentos, computacionais, equipamentos de comunicaçõa, mídias removíveis e outros equipamentos;

4 - Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

5 - Pessoas e suas qualificações, habilidades e experiências;

6 - Intangíveis: Reputação e imagem da empresa.

Das alternativas da questão, a única que não possui somente ativos de  informação é a letra B. Tudo que é produzido pela empresa é um ativo de informação para esta empresa. Até uma conversa na hora do cafezinho é um ativo de informação. Observe que a alternativa B é a única que contém itens que não são (necessariamente) desenvolvidos pela empresa.

Existem vários tipos de ativos e eles podem ser classificados como:

1 - Ativos de informação: Base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
2 - Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;

3 - Ativos físicos: equipamentos, computacionais, equipamentos de comunicaçõa, mídias removíveis e outros equipamentos;

4 - Serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;

5 - Intangíveis: Reputação e imagem da empresa.

6 - Pessoas e suas qualificações, habilidades e experiências;

A iso 27002:2013 não mostra mais essa divisão. Porém a ISO 27005:2011 MOSTRA OUTRA,

"B.1 Exemplos de identificação de ativos
Para estabelecer o valor de seus ativos, uma organização precisa primeiro identificá-los (num nível de
detalhamento adequado).

Dois tipos de ativos podem ser distinguidos:

Ativos primários:

Processos e atividades do negócio

Informação

Ativos de suporte e infraestrutura (sobre os quais os elementos primários do escopo se apoiam), de todos os tipos:

Hardware

Software

Rede

Recursos humanos

Instalações físicas

A estrutura da organização"

Vamos analisar a questão proposta e entender por que a alternativa B é a correta.

A alternativa B - aplicativos, sistemas, ferramentas de desenvolvimento e utilitários está correta, pois esses itens não são considerados ativos de informação pela norma ABNT NBR ISO/IEC 27002. A norma trata especificamente de ativos que possuem valor para a organização devido às informações que contêm ou suportam, como dados armazenados, documentos e registros, entre outros.

Agora, vamos analisar as demais alternativas para entender por que estão incorretas:

A - base de dados e arquivos, contratos e acordos

Esses itens são, sim, considerados ativos de informação. Base de dados e arquivos contêm dados essenciais para a organização, enquanto contratos e acordos possuem informações jurídicas e operacionais importantes.

C - manuais de usuário, material de treinamento, procedimentos de suporte ou operação

Esses elementos também são ativos de informação, pois contém conhecimento e instruções que são valiosos para a organização e os seus processos operacionais.

D - documentação de sistema e informações sobre pesquisa

A documentação de sistema é crucial para a operação e manutenção dos sistemas, e informações sobre pesquisas geralmente contêm dados valiosos para a inovação e desenvolvimento da organização, sendo, portanto, ativos de informação.

E - planos de continuidade do negócio, procedimentos de recuperação e trilhas de auditoria

Estes são ativos de informação essenciais para a segurança e resiliência da organização. Planos de continuidade do negócio e procedimentos de recuperação garantem a continuidade das operações em casos de incidentes, enquanto trilhas de auditoria fornecem registros detalhados necessários para a conformidade e investigação.

Espero que essa explicação tenha clarificado por que a alternativa B é a correta e ajudado a entender melhor como a norma ABNT NBR ISO/IEC 27002 classifica os ativos de informação. Se tiver mais dúvidas ou precisar de mais explicações, estou à disposição!