Apenas complementando.
A resposta dessa questão tem como base o objetivo de controle A.11.2.6 definido na ISO 27001.
"Devem ser tomadas medidas de segurança para ativos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependências da organização"
A alternativa correta usa como referência um dos os exemplos de risco de segurança externo definido na ISO 27002 na seção 11.2.6 Segurança de equipamentos e ativos fora das dependências da organização (pag. 54)
"Os riscos de segurança, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para outro, e convém que sejam levados em conta para determinar os controles mais apropriados."