A série de normas ISO/IEC 27000 estabelece as condições necessárias para implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação. Essas normas fornecem diretrizes para a gestão de riscos e segurança da informação. Sobre as normas da série ISO/IEC 27000, assinale a alternativa correta:

Alternativa D - Correta

Introdução

Esta questão aborda a série de normas ISO/IEC 27000 sobre Gestão de Segurança da Informação. É fundamental conhecer qual norma corresponde a cada função específica dentro do ecossistema de gestão de riscos e segurança.

Análise das Alternativas

⚠️ PEGADINHA COMUM: Confundir números das normas!

Detalhamento por alternativa:

A) INCORRETA ❌

• A ISO/IEC 27004 trata de medição e métricas, não de auditoria
• Auditoria e certificação são cobertas pela ISO/IEC 27006

B) INCORRETA ❌

• A ISO/IEC 27002 estabelece controles de segurança (código de práticas)
• Os requisitos para o SGSI estão na ISO/IEC 27001

C) INCORRETA ❌

• Visão geral e vocabulário são definidos na ISO/IEC 27000
• A ISO/IEC 27001 contém os requisitos do sistema

D) CORRETA ✅

• A ISO/IEC 27005 realmente fornece diretrizes para gestão de riscos
• Este é o padrão oficial para gerenciamento de riscos em segurança da informação
• Confirma-se pelo texto da questão que cita "ISO/IEC 27005:2018, Information Security Risk Management"

E) INCORRETA ❌

• A ISO/IEC 27003 é um guia de implementação do SGSI
• Métricas de segurança são abordadas na ISO/IEC 27004

Conclusão

A alternativa D é correta porque a ISO/IEC 27005 especificamente trata de gestão de riscos em segurança da informação, conforme descrito no enunciado e confirmado pelas diretrizes oficiais da ISO.

Resposta Final: Alternativa D