a) ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material de treinamento, procedimentos de suporte ou operação, planos de continuidade do negócio, procedimentos de recuperação, trilhas de auditoria e informações armazenadas;
b) ativos de software : aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
c) ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
d) serviços: serviços de computação e comunicações, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade e refrigeração;
e) pessoas e suas qualificações, habilidades e experiências;
f) intangíveis, tais como a reputação e a imagem da organização."
Conforme o colega disse, existe um controle específico para o controle de acesso ao código fonte de programas, dentro da seção 12. Aquisição, Desenvolvimento Manutenção de sistemas da informação. Segue:
" 12.4.3 Controle de acesso ao código-fonte de programa
Controle: Convém que o acesso ao código-fonte de programa seja restrito.
Diretrizes para implementação: Convém que o acesso ao código-fonte de programa e de itens associados (como desenhos, especificações, planos de verificação e de validação) seja estritamente controlado, com a finalidade de prevenir a introdução de funcionalidade não autorizada e para evitar mudanças não intencionais. Para os códigos-fonte de programas, este controle pode ser obtido com a guarda centralizada do código, de preferência utilizando bibliotecas de programa-fonte."
A questão do termo DEVE poderia tornara questão errada pois a norma é um guia de boas práticas que CONVÉM ser seguidas. Mas, o examinador não chegou nesse nível de detalhes. Vai do candidato avaliar o objetivo principal do examinador. Sabendo do que expus acima, colocaria a questão como CORRETA!