CESPE cobrando a ISO 27001:2006, desatualizada, mas enfim:
"4.2 Estabelecendo e gerenciando o SGSI
4.2.1 Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI ..."
.
GABARITO ALTERNATIVA B
.
Porém conforme a ISO 27001:2013, definir o escopo faz parte do contexto da organização:
"4 Contexto da organização
...
4.3 Determinando o escopo do sistema de gestão da segurança da informação "
ISO 27001:2013
"Prover requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI)"
Podemos observar 4 verbos: estabelecer, implementar, manter e melhorar continuamente
Embora a nova versão não mencione explicitamente o PDCA, bem como não associe diretamente os 4 verbos às seções, podemos fazer a seguintes ligações:
Estabelecer -> Plan
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio
Implementar -> Do
8. Operação
Manter -> Check
9. Avaliação de Desempenho
Melhorar Continuamente -> Act
10. Melhoria Contínua
Lembrando que as seções de 0 a 3 são introdutórias e não são obrigatórias para a implementação, enquanto as seções de 4 a 10 são obrigatórias.
O escopo é definido na seção de Contexto da Organização. Portanto, podemos dizer que está ligado ao verbo Estabelecer e a "fase" de Planejamento.
Gab. B