Julgue os itens subsequentes no que se refere ao sistema de ...

Alternativa Correta: C - Certo

A questão aborda a declaração de aplicabilidade no contexto do Sistema de Gestão de Segurança da Informação (SGSI), segundo a norma ISO/IEC 27001. Para resolver essa questão, é necessário entender o papel e a obrigatoriedade da declaração de aplicabilidade na documentação do SGSI.

A ISO/IEC 27001 é uma norma internacional que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação dentro do contexto da organização. Ela inclui requisitos para a avaliação e tratamento de riscos de segurança da informação adaptados às necessidades da organização.

Dentro dessa norma, a declaração de aplicabilidade (também conhecida como SoA - Statement of Applicability) é um documento fundamental. Ela identifica os controles de segurança que são aplicáveis e justifica sua inclusão ou exclusão, com base na avaliação de riscos e no contexto da organização.

Justificativa da Alternativa Correta (C):

A declaração de aplicabilidade é, de fato, um documento obrigatório no SGSI. Ela serve como um guia que relaciona os controles de segurança implementados ou não implementados, com suas justificativas. Esse documento é essencial para a transparência e a auditoria da gestão de segurança da informação, pois demonstra como a organização está tratando os riscos identificados e quais controles estão em vigor para garantir a segurança da informação.

Alternativas Incorretas:

Como a alternativa correta é a "C" (Certo), não há outras alternativas para análise nesta questão específica.

Em resumo, a declaração de aplicabilidade é uma peça crucial da documentação do SGSI, conforme a ISO/IEC 27001, e deve obrigatoriamente ser incluída para que o sistema de gestão seja considerado completo e conforme a norma.

CERTO.

Segundo a ISO 27001, 4.3.1 Geral, 

"A documentação do SGSI deve incluir:

a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI;

b) o escopo do SGSI (ver 4.2.1a));

c) procedimentos e controles que apoiam o SGSI;

d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c));

e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));

f) o plano de tratamento de riscos (ver 4.2.2b));

g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles (ver 4.2.3c));

h) registros requeridos por esta Norma (ver 4.3.3); e

i) a Declaração de Aplicabilidade."

A declaração de aplicabilidade (SOA) é uma listagem dos controles aplicados, e dos controles não aplicados. Ou seja, é uma listagem de TODOS os controles do anexo A da ISO 27001, mais os controles adicionais.