Alternativa B
A norma ISO/IEC 27001 é o padrão internacional de referência mundial para a gestão da segurança da informação. Ela não se limita a soluções técnicas isoladas, mas foca na criação de um framework de gestão robusto para proteger ativos de informação.
O coração desta norma é a definição de um SGSI (Sistema de Gestão de Segurança da Informação). Este sistema permite que a organização gerencie seus riscos de segurança de forma sistemática e alinhada aos objetivos de negócio.
Análise das Alternativas
Para identificar a resposta correta, é necessário entender o escopo oficial da norma versus os itens listados nas opções:
- Alternativa A (Incorreta): Testes de penetração são atividades técnicas específicas. Embora possam fazer parte dos controles de segurança, a norma não tem como objetivo principal definir padrões para esses testes.
- Alternativa B (Correta): Esta opção resume fielmente a definição oficial da norma. O texto da ISO 27001 trata explicitamente de requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI.
- Alternativa C (Incorreta): O descarte seguro de dados é um controle específico (geralmente encontrado na ISO 27002), mas não abrange o objetivo geral da norma de gestão.
- Alternativa D (Incorreta): Padrões de comunicação de rede (como protocolos criptográficos) são tratados em normas técnicas distintas. A 27001 foca na governança e gestão desses ativos, não nos detalhes de implementação de rede.
- Alternativa E (Incorreta): Treinamento e conscientização são requisitos obrigatórios dentro de um SGSI, mas a norma vai muito além disso, abrangendo políticas, avaliação de riscos e auditoria.
Conclusão
A diferença fundamental entre a ISO 27001 e outras normas técnicas é o seu foco na gestão de processos. Enquanto outras normas podem tratar de tecnologias específicas, a 27001 garante que a segurança da informação seja um ciclo contínuo de melhoria dentro da organização.
Portanto, a alternativa que descreve a função de prover requisitos para o SGSI é a correta.