Comentários do Professor Sócrates Filho, tirado de seu blog (ele mesmo não encontrou nada a respeito da alternativa B).
Gabarito: Item B, por eliminação.
Quanto ao item A, as cópias de segurança e as ferramentas de controle das cópias devem ser guardadas em locais distantes da instalação oficial. A distância varia de acordo com a avaliação dos riscos e os requisitos de tempo para recuperação das informações, no caso de incidente.
Quanto ao item C, a ISO 27002 recomenda que as cópias de segurança sejam testadas periodicamente para garantir que elas possam fazer a recuperação das informações quando necessário.
Quanto ao item D, a ISO 27002 recomenda que, após a sua aprovação, os procedimentos de recuperação sejam modificados quando necessário, para se adequarem às mudanças na avaliação dos riscos ou às mudanças na política de segurança da informação.
Quanto ao item E, a segurança da informação é caracterizada pela preservação da confidencialidade, integridade e disponibilidade dos dados, com objetivo de garantir a continuidade do negócio e minimizar os seus riscos.
Fonte: socratesfilho.files.wordpress.com/2010/01/comentarios-sobre-prova-do-tre-mt-2009.pdf
Quanto ao item B (resposta certa), encontrei em uma monografia de um aluno de pós-graduação da Estácio de Sá.
Convém que um nível mínimo de cópias de segurança, juntamente com o controle consistente e atualizado dessas cópias e com a documentação dos procedimentos de recuperação, sejam mantidos em local remoto a uma distância suficiente para livrá-los de qualquer dano que possa ocorrer na instalação principal. Convém que no mínimo três gerações ou ciclos de cópias de segurança das aplicações críticas sejam mantidos;
Fonte: www.viniciusmaia.com.br/wp-content/uploads/2009/07/Artigo-PoliticaSeguranca.pdf, página 17.
A alternativa E não é errada. É claro que que a segurança é caracterizada pela confidencialidade, integridade e disponibilidade, mas a criptografia não deixa de ser o meio de garantir a confidencialidade e a preservação da continuidade também é um parametro da segurança da informação afeto a disponibilidade. Claro que existem outros meio de garantir a confidencialidade como o controle de acesso ao meio físico, mas acho muito pouco provável que em algum caso recomende-se apenas isso como forma de garantir a confidencialidade.
A B me pareceu bem razoável, mais é dificil cravar esse número 3 sem ter certeza de que isso está na ISO. Não deve ser difícil encontrar papers com recomendações ainda mais seguras.
O resto de fato era absurdo.