Alternativa correta: C - Um código de práticas é um guia voluntário que fornece diretrizes e recomendações para a gestão da segurança da informação, enquanto uma norma técnica é um conjunto obrigatório de requisitos e critérios que devem ser seguidos para alcançar a conformidade.

Tema central da questão: A diferença entre um código de práticas e uma norma técnica na gestão da segurança da informação é fundamental para entender como as organizações estruturam suas políticas de segurança. Enquanto os códigos de práticas servem como recomendações e diretrizes, as normas técnicas estabelecem requisitos formais e obrigatórios.

Resumo teórico: Em segurança da informação, um código de práticas é um documento não obrigatório que fornece orientações sobre como gerir a segurança da informação. É geralmente utilizado para orientar as organizações na adoção das melhores práticas de segurança. Por outro lado, uma norma técnica estabelece padrões específicos que devem ser seguidos para garantir a conformidade. Estas normas são muitas vezes desenvolvidas por organismos reconhecidos, como a ISO (Organização Internacional de Normalização).

Justificativa da alternativa correta (C): A alternativa C é correta porque descreve precisamente o papel de um código de práticas como voluntário e orientativo, enquanto uma norma técnica é obrigatória e estabelece critérios que devem ser seguidos para conformidade. Essa distinção é fundamental para o entendimento de como as organizações tratam a gestão da segurança da informação.

Análise das alternativas incorretas:

A: Esta alternativa está incorreta porque um código de práticas não é simplesmente um conjunto de regras, mas sim diretrizes voluntárias. Além disso, uma norma técnica não se limita apenas à implementação de tecnologias de segurança, mas abrange uma gama mais ampla de requisitos.

B: Esta alternativa inverte os conceitos. Um código de práticas não é uma norma técnica específica, e normas técnicas não são guias gerais, mas sim documentos com requisitos obrigatórios.

D: A descrição de um código de práticas como um conjunto de controles obrigatórios está equivocada, pois eles são voluntários. Além disso, uma norma técnica não é um processo contínuo de avaliação, mas sim um conjunto de requisitos a serem seguidos.

E: Aqui, a descrição de um código de práticas como um documento de tratamento de informações sensíveis é limitada e não reflete sua natureza orientativa. A definição de norma técnica como uma política de segurança também está incorreta, pois políticas são diretrizes internas e não normas técnicas formais.

Gostou do comentário? Deixe sua avaliação aqui embaixo!