Uma boa política de segurança define controles lógicos e físicos assegurando um determinado nível de
disponibilidade dos serviços, confiabilidade dos dados e serve de referência para as ações de treinamento dos
usuários e demais procedimentos de segurança. A ISO/IEC 27.000 apresenta uma introdução geral de um sistema da
segurança da informação e fornece um glossário, contendo definições da maioria dos termos. Analise as afirmativas a
respeito das Normas NBR ISO/IEC nº 27.001:2013, NBR ISO/IEC nº 27002:2013 e NBR ISO/IEC nº27005:2011.
I. Na ótica da NBR ISO/IEC nº 27.001:2013 e NBR ISO/IEC nº 27.002:2013, a segurança que pode ser alcançada através
de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados. A identificação de
quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes, um
sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização.
II. A norma NBR ISO/IEC nº 27.005:2011 fornece diretrizes para o processo de gestão de riscos de segurança da
informação de uma organização, atendendo particularmente aos requisitos de um Sistema de Gestão de Segurança
da Informação (SGSI) de acordo com a Norma NBR ISO/IEC nº 27.001, incluindo um método específico para a gestão
de riscos de segurança da informação. Cabendo à organização a implementação e à adequação do modelo a
estrutura do negócio.
III. A seleção de controles de segurança da informação depende das decisões da organização, criando sua própria
legislação e regulamentação baseadas nos critérios internos da organização para aceitação de risco.
Está(ão) correta(s) apenas a(s) afirmativa(s)