Julgue o item subsequente, com base na norma NBR ISO/IEC 27...

A alternativa correta para esta questão é: Errado.

Vamos entender o porquê dessa resposta estar correta e como a questão aborda o tema da norma NBR ISO/IEC 27001:2009.

A ISO/IEC 27001 é uma norma internacional que descreve as melhores práticas para um Sistema de Gestão de Segurança da Informação (SGSI). Ela estabelece requisitos para a implementação, manutenção e melhoria contínua de um SGSI, levando em consideração os riscos de segurança da informação dentro do ambiente organizacional.

Um conceito fundamental dentro da ISO/IEC 27001 é a relação entre a política de segurança da informação e os objetivos de segurança da informação. A política de segurança da informação fornece um direcionamento geral e estabelece os princípios e diretrizes que a organização deve seguir para garantir a segurança da informação. Os objetivos de segurança da informação, por sua vez, são metas específicas que a organização deseja alcançar para assegurar a proteção de seus ativos de informação.

De acordo com a norma, os objetivos de segurança da informação devem ser derivados da política de segurança da informação. Isso significa que os objetivos devem estar alinhados com os princípios e diretrizes estabelecidos na política. Assim, eles não podem ser estabelecidos de forma independente.

A questão sugere que "As organizações devem estabelecer os objetivos de segurança da informação de forma independente de sua política de segurança da informação". Esta afirmação está incorreta porque os objetivos de segurança devem estar diretamente relacionados e alinhados com a política de segurança da informação da organização.

Portanto, a alternativa correta é Errado, pois os objetivos de segurança da informação não podem ser estabelecidos de forma independente da política de segurança da informação.

Espero que esta explicação tenha esclarecido suas dúvidas sobre a relação entre a política de segurança da informação e os objetivos de segurança segundo a norma ISO/IEC 27001. Qualquer dúvida adicional, estou à disposição para ajudar!

De forma INDEPENDENTE? como assim?

A política de seggurança da informação é totalmente ligada aos OBJETIVOS da organização.

Errada.

A Norma ISO 27002 cita:

"Fatores críticos de sucesso:

A experiência tem mostrado que os seguintes fatores são geralmente críticos para o sucesso da implementação da segurança da informação dentro de uma organização:

a) política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio."

Ou seja, tanto a PSI quanto os objetivos devem estar alinhados para atender ao negócio.

6. Planejamento ISO 27001:2013

6.2 - Os objetivos de segurança da informação devem ser
consistentes com a política de segurança da informação, ser
mensuráveis (quando aplicável), levar em conta os requisitos
de segurança da informação aplicáveis e os resultados da
avaliação e tratamento dos riscos, ser comunicados e ser
atualizados.
 

Os objetivos de segurança da informação devem estar em consonância com a política de segurança da informação da organização.

Gabarito: ERRADO

A política de segurança da informação não pode ser um documento qualquer na organização e deve estar ligada aos objetivos da organização. Também deve estar disponível e ser de conhecimento de todos os funcionários.

Fiz um grupo de estudos no DISCORD. Se tiver interesse em participar é só acessar: https://discord.gg/FmcW6mAhR4