SóProvas

Segundo a ISO 27002,"9.2.5 Segurança de equipamentos fora das dependências da organização

Diretrizes para implementação

Convém que, independentemente de quem seja o proprietário, a utilização de quaisquer equipamentos de processamento de informações fora das dependências da organização seja autorizada pela gerência.

Informações adicionais

Os equipamentos de armazenagem e processamento de informações incluem todas as formas de computadores pessoais, agendas eletrônicas, telefones celulares, cartões inteligentes, papéis e outros tipos,utilizados no trabalho em casa, ou que são removidos do local normal de trabalho."

A 27.002:2005 não obriga... Ela sugere!

Bem lembrado colega Nascimento. Mas vamos ficar atentos, porque quando o cespe colocar no título da questão algo do gênero "Com base nas normas ABNT NBR ISO/IEC n.º 27001:2006 e n.º 27002:2005", então tanto o DEVE,da ISO 27001, quanto o PODE,da ISO 27002, são usados de formas semelhantes e não definirão se o resultado é certo ou errado. Portanto, não será o pode ou o deve que vai sacanear o usuário porque as duas formas serão válidas, ao não ser que na questão venha pedindo COM BASE EM NORMA TAL.

A.9.2.5

Segurança de equipamentos fora das dependências da organização 

Devem ser tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

9.2.5 Segurança de equipamentos fora das dependências da organização

Convém que sejam tomadas medidas de segurança para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização.

O enunciado afirma com base nas duas normas logo a questão está errada. 

A questão não esclarece que tipo de equipamento, e nem se o equipamento é da empresa ou é particular;

Acredito que o erro está na palavra "obrigatoriamente", porque a ISO 25.002 apenas sugere medidas.

ISO 27002
9.2.5  Security of equipment off-premises

Security should be applied to off-site equipment taking into account the different risks of working outside the organization’s premises.
Engraçado, na norma original, que está em ingles, está escrito SHOULD, e não COULD.
Isso eliminaria o problema da 27001 obrigar e 27002 sugerir, pois ambas obrigariam.

Talvez o erro esteja em a utilização de equipamentos fora das dependências da organização, pois a iso 27002 não proibe o uso de qualquer equipamento, mas proíbe o uso equipamentos de processamento de informações.
Adicionalmente, como levantando por Tanenbaum, o fato de ser autorizado pela gerência.

O erro está em afirmar que: " requer obrigatoriamente a autorização prévia da administração."

Quando a norma 27002:2013 diz: "Convém que o uso de qualquer equipamento ....", ou seja, a norma não obriga, apenas sugere!!!

Bom, como a maioria dos candidatos alega que  a ISO 27002 somente sugere, então como uma organização pode adquirir o seu reconhecimento???

Eu também sempre duvido de alguns termos, como "nunca", "sempre", "garante" etc. "Obrigatório" é um deles, principamente quando se refere ao Cespe. A chance de ser uma afirmação falsa é muito grande.

Vamos na fé.

Senhores, usem o bom senso. Desde quando o fato da empresa autorizar o uso evita vazamento de informações? Acho que nunca né.

Várias questões a cespe utiliza como sugestao e em outras obrigação ao sabor do gosto do avaliador.

" Convém que o uso de qualquer equipamento de processamento e armazenamento de informações fora das dependências da organização seja autorizado pela gerência. Isto se aplica aos próprios equipamentos da organização e aos equipamentos pessoais, usados em nome da organização. "

Não tem nem como dizer que gerência e administração são coisas diferentes. Quem errou, acertou. Bola pra frente.