LETRA A.
Segundo a ISO 27001:2006,"4.2.1 Estabelecer o SGSI
A organização deve:
b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:
3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer ;"
4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2);
b) Definir uma política do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia que:
b.1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação;
b.2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais;
b.3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer;
b.4) estabeleça critérios em relação aos quais os riscos serão avaliados (ver 4.2.1c)); e
b.5) tenha sido aprovada pela direção.
NOTA Para os efeitos desta Norma, a política do SGSI é considerada um documento maior da política de segurança da informação. Estas políticas podem estar descritas em um documento.
Fonte: http://pt.slideshare.net/JFlviaSales/nbr-iso-iec-270012006-52734513