Errei a questão devido a interpretação que dei a informações operacionais. Ora, se estas forem as informações do funcionamento da empresa elas devem ser mantidas após o teste. A questão deveria ter deixado explícito que essas informações foram inseridas pelos profissionais altamente qualificados em segurança de redes APENAS para encontrar/verificar/avaliar as possíveis vulnerabilidades, no teste conhecido como Testes de Intrusão. A questão merecia recurso!
Encontrei uma referência sobre o tema em : http://blog.andradesoto.com.br/index.php/teste-de-intrusao-como-entrada-para-o-processo-de-gestao-de-riscos/.
"Teste de intrusão é uma atividade na qual profissionais altamente especializados utilizam seus conhecimentos para detectar falhas de segurança em equipamentos e softwares de TI (computadores, sistemas, equipamentos de rede, etc.).
Para as fragilidades técnicas, temos os testes de segurança como testes de intrusão(manuais) ou análise de vulnerabilidades (ferramentas automatizadas).
O resultado (saída) dos testes de intrusão, traz como principais informações as vulnerabilidades dos ativos testados. Esses ativos podem ser serviços de infraestrutura, aplicações, sistemas operacionais, entre outros. Então neste caso temos dois componentes (ativos e vulnerabilidades) muito importantes para o conhecimento de riscos, ou para a associação dos riscos já existentes."
Bons estudos!
Creio que a resposta seja essa:
14.3 Dados para teste
Objetivo: Assegurar a proteção dos dados usados para teste.
14.3.1 Proteção dos dados para teste
c) convém que a informação operacional seja apagada do ambiente de teste, imediatamente após finalizar os testes;
Norma ISO 27002:2013 página 88