Essa questão deveria ter sido anulada pela seguinte razão:
O edital deste concurso não especifica a qual ISO ele se refere(há menção apenas de ISO 27002) e, no momento em que o edital foi lançado, em 01/04/2014, já havia sido lançada a Segunda Edição da ISO 27002:2013, válida a partir de 08/12/2013.
O trecho citado pelo HTTP Concurseiro se refere à ISO 27002:2005, sendo que na 27002:2013 diz o seguinte:
"Políticas de segurança da informação podem ser emitidas em um único documento, "política de segurança da informação" ou como um conjunto de documentos individuais, relacionados (...)"
Ou seja, ao contrário da ISO 27002:2005, a ISO 27002:2013 aboliu a menção de que a política de segurança da informação pode ser uma parte de um documento da política geral."
Assim, de acordo com a ISO 27002:2013, a primeira parte da questão "A política de segurança da informação de uma organização não pode fazer parte de uma política geral da empresa" está certa, enquanto a segunda parte "devendo ser contemplada em um documento específico, com versões controladas, contendo especificamente as diretrizes de segurança da informação" está errado.
A ISO 27002:2013 não fala que deve, mas que podem ser emitidas em um único documento, "política de segurança da informação", ou como um conjunto de documentos individuais, relacionados.