As políticas de segurança definem procedimentos de segurança...

A alternativa correta é a alternativa C.

Vamos analisar esta questão com cuidado para compreender por que a alternativa C é a correta e por que as outras estão incorretas. As políticas de segurança da informação são fundamentais para definir procedimentos de segurança adequados, processos de auditoria e uma base para procedimentos legais após ataques.

Alternativa C: "definem um documento, além de deixar de fora todos os aspectos técnicos de implementação dos mecanismos de segurança, pois essa implementação pode variar ao longo do tempo."

Justificativa: As políticas de segurança da informação focam em princípios gerais e diretrizes, deixando os aspectos técnicos específicos para documentos e processos que podem ser atualizados ao longo do tempo. Isso é importante porque a implementação técnica pode variar com o avanço da tecnologia, enquanto os princípios subjacentes de segurança permanecem mais estáveis.

Alternativa A: "utilizam a política de segurança para não deixar de fora os aspectos técnicos de implementação dos mecanismos de segurança."

Comentário: Esta alternativa está incorreta porque políticas de segurança não devem detalhar aspectos técnicos de implementação. Esses detalhes estão sujeitos a mudanças rápidas e devem ser tratados em documentos técnicos específicos e manuais de procedimentos.

Alternativa B: "contêm um documento de fácil leitura e compreensão, porém possuem uma documentação extensa."

Comentário: Embora seja desejável que as políticas sejam de fácil leitura e compreensão, a "documentação extensa" mencionada aqui não é um fator determinante para a qualidade ou eficácia das políticas de segurança. Mais importante é que as políticas sejam claras, concisas e focadas nos princípios gerais de segurança.

Alternativa D: "devem ter implementação obscura e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção."

Comentário: A implementação das políticas de segurança não deve ser obscura; pelo contrário, deve ser transparente e compreensível para todos os envolvidos. A clareza na definição das áreas de responsabilidade é, de fato, necessária, mas a ideia de "implementação obscura" é contrária aos melhores princípios de segurança da informação.

Para resolver essa questão, é necessário compreender que as políticas de segurança da informação devem ser suficientemente flexíveis para se adaptar ao longo do tempo enquanto fornecem diretrizes claras e princípios gerais. Elas não devem se prender a detalhes técnicos, que são mais propensos a mudanças tecnológicas.

Espero ter ajudado a esclarecer o tema! Se tiver mais alguma dúvida, estou à disposição para ajudar.

A PSI deve indicar como as coisas devem acontecer na organização no que se refere à SI. É um conjunto de regras, normas e procedimentos que determina qual deve ser o comportamento das pessoas que se relacionam com a organização no que se refere ao tratamento da informação.
O objetivo é diminuir as vulnerabilidades das pessoas, que são ativos de informação.
Respostas
a- incorreta pq a política não interfere em aspectos técnicos.
b- o documento deve ser de fácil leitura e compreensão, mas não necessariamente extenso.
d- a PSI não intefere na estrutura de RH.
RESPOSTA CORRETA C.

Acredito que outro erro da D é a "implementação obscura"

PS: o verificador de soma dos comentários precisa urgentemente de umas aulas de matemática básica.