ISO 27002
SEÇÃO 02: Organização da Segurança da Informação
a. Organização Interna
b. Dispositivos móveis e trabalho remoto
Seção 04 - Gestão de Ativos
a. Responsabilidade pelos ativos
b. Classificação da Informação
c. Tratamento de Mídias
SEÇÃO 05: Controle de Acesso
a. Requisitos do negócio para controle de acesso
b. Gerenciamento de acesso do usuário
c. Responsabilidades dos usuários
d. Controle de acesso ao sistema e à aplicação
SEÇÃO 06: Criptografia
a. Controles criptográficos
SEÇÃO 10: Aquisição, Desenvolvimento e Manutenção de Sistemas
a. Requisitos de Segurança de sistemas de informação
b. Segurança em processos de desenvolvimento e de suporte
c. Dados para teste
viii. Teste de segurança do sistema
Complementando o comentário do colega...
Enunciado: "São controles da gestão de ativos..." ou seja... está pedindo controles da seção 8 (Gestão de ativos) da 27002.
a) responsabilidade pelos ativos, dispositivos móveis e trabalho remoto, classificação da informação.
b) responsabilidade pelos ativos, gerenciamento de mídias removíveis, dispositivos móveis e trabalho remoto.
c) controle de acesso dos ativos, teste de segurança do sistema, dispositivos móveis e trabalho remoto.
d) teste de segurança do sistema, tratamento de mídias, criptografia.
e) classificação da informação, responsabilidade pelos ativos e tratamento de mídias.
Seções, objetivos de controle e controles citados nas alternativas:
6 Organização da segurança da informação
6.1 Organização interna
6.2 Dispositivos móveis e trabalho remoto
8 Gestão de ativos
8.1 Responsabilidade pelos ativos
8.2 Classificação da informação
8.2.1 Classificação da informação
8.3 Tratamento de mídias
8.3.1 Gerenciamento de mídias removíveis
9 Controle de acesso
10 Criptografia
14 Aquisição, desenvolvimento e manutenção de sistemas
14.2 Segurança em processos de desenvolvimento e de suporte
14.2.8 Teste de segurança do sistema
Se for levar ao pé da letra na norma, nenhuma alternativa estaria correta, pois o enunciado pede por controles.
A alternativa E, dada como certa, cita os objetivos de controle da gestão de ativos.
Ainda dá para quebrar um galho por citar classificação da informação, que possui um controle (8.2.1) com o mesmo nome do seu respectivo objetivo de controle (8.2).
Fonte: ABNT NBR ISO/IEC 27002:2013