Uma empresa que está se preparando para sofrer uma auditoria checou que não constam na Declaração de Aplicabilidade, a exclusão e nem a justificativa de exclusão dos objetivos de controle e controles constantes na norma. De acordo com o item 6.1.3 da norma, isso é passível de ser classificado como “Não-conformidade”?

Alternativa A - Sim

A questão aborda os requisitos de documentação estabelecidos pela norma ABNT NBR ISO/IEC 27001:2013, focando no tratamento de riscos de segurança da informação.

O cenário descreve uma falha documental específica na Declaração de Aplicabilidade da empresa em relação aos requisitos de exclusão de controles.

Análise

• Requisito Obrigatório: Conforme o texto transcrito do item 6.1.3, alínea d), a organização deve elaborar uma declaração que contenha, entre outros itens, a justificativa para exclusões dos objetivos de controle e controles constantes no Anexo A.
• Desvio Identificado: A empresa constatou que essas justificativas não foram incluídas na documentação atual ("não constam na Declaração de Aplicabilidade").
• Classificação na Auditoria: Na terminologia de auditoria de sistemas de gestão, o não atendimento a um requisito explícito da norma caracteriza uma Não-conformidade. Não se trata apenas de uma observação (que indicaria uma oportunidade de melhoria sem violação direta), pois há uma exigência normativa clara não cumprida.
• Aplicabilidade: O item 6.1.3 é parte integral do processo de tratamento de riscos e aplicação de controles, sendo totalmente aplicável à situação descrita.

Conclusão
Como a norma exige explicitamente a presença das justificativas de exclusão na Declaração de Aplicabilidade e a empresa não as possui, isso configura uma falha no cumprimento dos requisitos da norma. Portanto, é passível de classificação como Não-conformidade.