SóProvas

d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;

ISO/IEC 27001:2013.

até porque a 27001 é norma de certificação

Não pode excluir as seguintes seções:

4 - Sistema de gestão de SI
5 - Responsabilidades da direção
6 - Auditorias internas do SGSI
7 - Análise crítica do SGSI pela direção
8 - Melhoria do SGSI

ERRADA

ABNT NBR ISO/IEC 27001:2013

1 Escopo

(...) A exclusão de quaisquer dos requisitos especificados nas seções 4 a 10 não é aceitável
quando a organização busca a conformidade com esta Norma.

NÃO PODEM SER EXCLUIDAS SE QUISER GANHAR CERTIFICAÇÃO:

4. Contexto da organização;

5. Liderança;

6. Planejamento;

7. Apoio;

8. Operação;

9. Avaliação do desempenho;

      9.1 Monitoramento, medição, análise e avaliação;

      9.2 Auditoria interna;

      9.3 Análise crítica pela direção;

e

10) Melhoria

http://www.inf.furb.br/~paulofernando/downloads/risco/ISO-27001-2013.pdf

A questão soa estranho, não é mesmo? Afinal, se uma organização quer reivindicar conformidade com a ISO 27001, mas não vai atender a determinados requisitos especificados na norma, é razoável que ela redija uma declaração de aplicabilidade que contenha os controles adotados e justificativa para os controles não adotados. Errado!

GABARITO: ERRADO.

Para organização ter uma certificação da norma 27001, não poderá ter nenhum item excluído sem justificativa.