Analisando as alternativas de acordo com a norma referida acima:
a) modificações em pacotes de software devem ser encorajadas e não devem estar limitadas apenas às mudanças necessárias, porém, todas as mudanças devem ser documentadas.
Errada. Modificações devem ser feitas quando são necessárias e não encorajadas para serem alteradas.
b) mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser controladas por procedimentos informais de controle de mudanças.
Errada. Mudanças devem ser formalidadas (com regras, com padrões aceitos etc).
c) a organização não deve contratar empresas terceirizadas para realizar atividades de desenvolvimento de sistemas de informação.
Errada. A organização pode contratar empresas terceirizadas para tal atividade.
d) testes de funcionalidade de segurança devem ser realizados somente quando o sistema estiver pronto.
Errada. Os testes de funcionalidade de segurança devem ser realizados SEMPRE!