Com relação à backups de dados considere: I. A política de ...

Prezados, vamos analisar item por item

I. A política de segurança deve fornecer as diretrizes necessárias para orientar o desenvolvimento de procedimentos de backup e restore.

Item correto. Uma política de segurança deve fornecer as diretrizes para os procedimentos de backup e restore, tanto direcionando a periodicidade do backup, quanto a periodicidade de teste de recuperação do backup.

II. Para a implementação do backup, deve-se levar em consideração a importância da informação, o nível de classificação utilizado, sua periodicidade de atualização e também sua volatilidade.

Item correto. Dados mais críticos devem ter uma relevância maior que dados não críticos no procedimento de backup.

III. Os backups devem ser mantidos no mesmo local físico de armazenamento dos dados originais para possibilitar sua rápida restauração.

Item errado. Os backups devem ser mantidos preferencialmente em locais diferentes do local físico onde são armazenados os dados.

IV. Além dos backups realizados por empresas terceiras, como, por exemplo, provedores de sites de contingência, deve-se produzir uma cópia adicional de segurança dos backups, considerados mais críticos para ser armazenada nas instalações da organização independentemente das cláusulas contratuais estabelecidas, que visam proteger a organização.

Em minha humilde opinião esse item está errado pelo simples fato de não ter encontrado base que fundamenta a obrigação da empresa DEVER produzir uma cópia adicional de segurança dos backups, porém a banca considerou esse item correto.

A  alternativa correta é ; C.

Concordo com o amigo Kaio sobre o item IV. 

E se jogarem uma bomba nas "instalacões da organização"?? Todas as copias de backup serão perdidas.

As cópias devem ser armazenadas em locais diferentes.

Pode-se desrespeitar cláusulas contratuais segundo a alternativa IV? Qual a referência dessa afirmação?

Eu acho que a IV está correta porque não dá apenas para confiar numa empresa contratada, pelo menos um backup semanal deve ser realizado num acesso exclusivo da empresa, acredito que a escolha de ser um local na própria instalação é para rápida recuperação, do mesmo modo que vendo por este lado a III também poderia estar correta, dependendo do tipo de negócio que se tem não há como ficar esperando horas ou dias para recuperar um backup, mas, isso é uma questão de ponto de vista e de interpretação quando se fala de questão de concurso, visando a garantia da empresa eu considerei a IV mas num primeiro momento ela me pareceu estranha também.