Mais uma mal formulada do CESPE
Quando falamos em política de seguraça da informação devemos nos ater a um documento proposto pela alta cúpula da organização, ou seja, estamos aqui no nível estratégico, onde somente serão expostos macro-conceitos que serão desmembrados mais tarde.
Deste modo teremos:
4.ESTRUTURA NORMATIVA
Os documentos que compõem a estrutura normativa são divididos em três categorias:
a) Política (nível estratégico): constituída do presente documento, define as regras de alto nível que representam os princípios básicos que a organização decidiu incorporar à sua gestão de acordo com a visão estratégica da alta direção. Serve como base para que as normas e os procedimentos sejam criados e detalhados;
b) Normas (nível tático): especificam, no plano tático, as escolhas tecnológicas e os controles que deverão ser implementados para alcançar a estratégia definida nas diretrizes da política;
c) Procedimentos (nível operacional): instrumentalizam o disposto nas normas e na política, permitindo a direta aplicação nas atividades da organização.
Definitivamente não caberá para o documento de política definições dispostas na questão
OK?