A política de segurança de uma organização pressupõe, primor...

Alternativa correta: C - a aprovação da direção e a conformidade com requisitos de negócio.

A Política de Segurança da Informação é um documento vital para qualquer organização que se preocupe com a proteção de seus ativos de informação. Ela serve como uma diretriz formal para como a informação deve ser gerenciada e protegida na empresa. Essa política define os padrões, procedimentos e responsabilidades para garantir a confidencialidade, integridade e disponibilidade dos dados.

É fundamental que a direção da organização esteja envolvida no processo, o que inclui a aprovação da política, manifestando seu compromisso e suporte para com a segurança da informação. Além disso, a política deve estar alinhada com os requisitos de negócio da organização, assegurando que as práticas de segurança não estejam em conflito com as metas e objetivos empresariais. Isso garante que a política seja prática, relevante, e que possa ser aplicada de forma eficaz no ambiente de negócios.

As outras alternativas, embora possam fazer parte de um programa de segurança da informação mais amplo, não capturam a essência primordial da política de segurança que é o alinhamento estratégico com a direção da empresa e com os seus objetivos de negócio. A análise crítica regular (Alternativa B), a declaração de responsabilidades (Alternativa D) e a identificação dos riscos (Alternativa E) são componentes importantes da gestão da segurança da informação, mas são secundários em relação ao engajamento e à conformidade com os objetivos estratégicos da organização. Quanto à publicação do documento (Alternativa A), ela é importante para a disseminação da política, mas não é um pressuposto primordial em sua criação.

Como a questão pede o que PRIMORDIALMENTE pressupõe uma PS, a ISO 27002 (27002 = renumeração da 17799) quando começa a falar sobre os objetivos e o que deve conter na PS, deixa claro que deve prover apoio da direção...... leiam.. ISO 17799/2005 - (Cap. 5)"Política de segurança da informaçãoObjetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização."

A resposta da questão está na palavrinha PRESSUPÕE.
Isso quer dizer que para existir a Política de Segurança, para ela ser aprovada, deve antes de mais nada ser aprovada pela alta direção e, claro, estar alinhada com os requisitos do negócio, por isso a letra C está correta.

a) Sim, a política deve ser de conhecimento de todos mas isso vem depois da aprovação dela.
b) Sim, a política deve ser revista periodicamente, até mesmo porque é baseada no modelo PDCA, mas isto também vem depois da aprovação da política.
c) CORRETA
d) Sim, a deve ser feita a declaração de responsabilidades para SI, que é o proprietário, custodiante, controlador e o usuário dos ativos de informação, mas isso também vem depois.
e) Sim, todos os riscos devem ser identificados inclusive os relacionados com partes externas, mas também isso vem depois da aprovação da política de segurança.

Questão muito boa pois ela toda é verdade, mas o examinador pediu o que antecede a política de segurança e não o que sucede.