Alternativa A - Sim
Análise Detalhada
A questão aborda um requisito fundamental da norma ISO/IEC 27001:2013, especificamente relacionado à gestão de riscos e documentação. Vamos entender o raciocínio passo a passo:
1. O que diz o Item 6.1.3?
O trecho fornecido no enunciado destaca o subitem d), que obriga a organização a:
"elaborar uma declaração de aplicabilidade, que contenha os controles necessários... e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do Anexo A."
Isso significa que a norma não permite simplesmente deixar de aplicar um controle sem uma explicação formal registrada.
2. A Situação da Empresa
A empresa verificou que não constam na Declaração de Aplicabilidade:
- A exclusão dos objetivos de controle;
- A justificativa para essa exclusão.
3. Classificação de Não-Conformidade
Em auditorias de sistemas de gestão (como ISO 27001), uma Não-Conformidade ocorre quando há falha em atender a um requisito da norma ou do próprio sistema de gestão estabelecido pela organização.
| Requisito da Norma | Situação Encontrada | Classificação |
|---|
| Deve conter justificativa para exclusão | Justificativa inexistente | Não-Conformidade |
| Deve declarar controles aplicáveis | Controle excluído sem registro | Não-Conformidade |
Como a norma estabelece uma obrigatoriedade explícita ("deve definir e aplicar", "elaborar... que contenha"), a ausência desse documento ou de suas partes essenciais caracteriza um desvio direto das regras impostas pela ISO 27001.
Conclusão
Portanto, a falta da justificativa para exclusão de controles na Declaração de Aplicabilidade é passível de classificação como Não-conformidade, pois viola o requisito documental do item 6.1.3 d).
Alternativa A.