Com base na norma ABNT NBR ISO/IEC 27002, julgue o item subs...
Com base na norma ABNT NBR ISO/IEC 27002, julgue o item subsequente.
O documento de política de segurança da informação deve
ser aprovado pela alta direção da organização e ser parte
integrante do documento de planejamento estratégico
organizacional.
Gabarito comentado
Confira o gabarito comentado por um dos nossos professores
Vamos analisar a questão com calma e entender o porquê da alternativa correta ser E (errado).
De acordo com a norma ABNT NBR ISO/IEC 27002, o documento de política de segurança da informação deve, de fato, ser aprovado pela alta direção da organização. Isso garante que a política tenha o suporte necessário e seja levada a sério por todos os níveis hierárquicos.
No entanto, a afirmativa também menciona que a política de segurança da informação deve ser parte integrante do documento de planejamento estratégico organizacional. É aqui que encontramos o equívoco. Embora a política de segurança da informação deva estar alinhada com os objetivos estratégicos da organização e pode ser referenciada no planejamento estratégico, ela não precisa ser, necessariamente, uma parte integrante desse documento.
A norma ISO/IEC 27002 enfatiza a importância da alta direção na aprovação da política, mas não especifica que a política deve estar dentro do documento de planejamento estratégico. Portanto, a afirmação está incorreta.
Vamos recapitular:
Afirmação: O documento de política de segurança da informação deve ser aprovado pela alta direção da organização e ser parte integrante do documento de planejamento estratégico organizacional.
Correta: A política deve ser aprovada pela alta direção.
Incorreta: A política não precisa ser parte integrante do documento de planejamento estratégico.
Justificativa para a alternativa correta (E): A norma ISO/IEC 27002 não exige que a política de segurança da informação seja parte integrante do documento de planejamento estratégico. Ela deve ser aprovada pela alta direção e estar alinhada aos objetivos estratégicos, mas não precisa ser inclusa diretamente no planejamento estratégico organizacional.
Se precisar de mais alguma explicação ou tiver dúvidas, estou aqui para ajudar!
Clique para visualizar este gabarito
Visualize o gabarito desta questão clicando no botão abaixo
Comentários
Veja os comentários dos nossos alunos
Gabarito: ERRADO
A ISO 27002/2013 não vincula que a PSI deve ser parte integrante de um documento de planejamento estratégico. De acordo com a Norma ela pode ser parte integrante de um único documento.
Políticas internas são especialmente úteis em organizações maiores e mais complexas onde aqueles que definem e aprovam os níveis esperados de controle são segregados daqueles que implementam os controles, ou em situações onde uma política se aplica a muitas pessoas ou funções diferentes na organização. Políticas de segurança da informação podem ser emitidas em um único documento, "política de segurança da informação" ou como um conjunto de documentos individuais, relacionados.
Fonte: ISO 27002/2013, página 9
Clique para visualizar este comentário
Visualize os comentários desta questão clicando no botão abaixo
Conheça nossos planos