SóProvas

Eu não sei onde está o erro. Quem souber me avisa que fiquei com dúvida nessa questão. Se for pra chutar o erro acho que a ISO 15999 baseia-se na norma BS 25999-1, que trata da gestão da continuidade do negócio. 

Fala, HTTP Concurseiro

"A NBR 15999:2007 é baseada na norma britânica BS 25999:2006"

Referência: Livro Segurança da Informação Descomplicada, por Socrates Arantes T. Filho - pg. 70

Espero ter ajudado.

Pelo que eu entendi, a questão afirmou que "a ISO 27001 ... é considerada como ponto focal da discussão de normas de gestão de continuidade de negócios".

ISO 27.001 é para definição dos requisitos para um SGSI.

que é pronome relativo, retoma o termo anteriormente citado... no caso, 27001. Nesse contexto, falar que 27001 baseia continuidade de negócios é errado

A Gestão da Continuidade de Negócios é algo maior que um Sistema Gerenciador de Segurança da Informação.

"A seguir estão alguns dos principais procedimentos e documentos exigidos pela BS 25999-2 (mãe da NBR 15999:2007 ):

objetivo do SGCN – identificação precisa da área da organização em que a gestão de continuidade de negócios é aplicada

Política de GCN – definição de objetivos, responsabilidades, etc.

gestão de recursos humanos

análise de impacto nos negócios e avaliação de riscos

definição da estratégia de continuidade de negócios

planos de continuidade de negócios

manutenção de planos e sistemas; melhoria"

Veja que a atividade de avaliação de risco, por exemplo, é só uma das muitas etapas num GCN. E nem sequer fala-se em risco de segurança da informação, mas sim riscos de negócio.

Fonte: http://advisera.com/27001academy/pt-br/o-que-e-a-bs-25999/