Sobre a norma ABNT NBR ISO/IEC 27001:2006, é INCORRETO afirm...

A alternativa correta é a B.

A norma ABNT NBR ISO/IEC 27001:2006 é uma referência internacional para a gestão de segurança da informação. Ela estabelece requisitos para a criação, implementação, operação, monitoramento, análise crítica, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). Para resolver a questão, é necessário entender os princípios e objetivos dessa norma.

Vamos analisar cada alternativa:

A - Promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI de uma organização.

Essa alternativa está correta. A norma realmente promove uma abordagem de processo para gerenciar o SGSI, assegurando que todas as etapas sejam continuamente revisadas e melhoradas.

B - Foi desenvolvida para organizações privadas e seus requisitos genéricos não são aplicáveis às organizações públicas ou privadas de pequeno porte.

Essa alternativa está incorreta. A ISO/IEC 27001 é aplicável a qualquer tipo de organização, independentemente de seu tamanho ou setor (público ou privado). Os requisitos são genéricos e podem ser adaptados conforme necessário.

C - Adota o modelo conhecido como “Plan-do-Check-Act” (PDCA), que é aplicado para estruturar todos os processos do SGSI.

Essa alternativa está correta. A norma adota o ciclo PDCA (Planejar-Fazer-Verificar-Agir) para garantir que os processos do SGSI sejam continuamente aprimorados.

D - Específica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

Essa alternativa está correta. A norma especifica claramente os requisitos para todas as fases do ciclo de vida do SGSI, considerando os riscos de negócio da organização.

E - Específica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

Essa alternativa está correta. A norma permite que as organizações implementem controles de segurança de acordo com suas necessidades específicas, garantindo flexibilidade na aplicação dos requisitos.

Espero que esta explicação tenha esclarecido suas dúvidas sobre o tema. Se precisar de mais alguma coisa, estou à disposição!

Tirado da norma.

1.2 Aplicação

Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de quaisquer dos requisitos especificados nas seções 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com esta Norma.