CERTO com base no controle abaixo da ISO 27002 e também da ISO 27001.
9.2.7 Remoção de propriedade
Controle
Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia.
Diretrizes para implementação
Convém que sejam levadas em consideração as seguintes diretrizes:
a) os equipamentos, informações ou software não sejam retirados do local sem autorização prévia;
b) os funcionários, fornecedores e terceiros que tenham autoridade para permitir a remoção de ativos para fora do local sejam claramente identificados;
c) sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devolução seja controlada;
d) sempre que necessário ou apropriado, seja feito um registro da retirada e da devolução de equipamentos, quando do seu retorno.
Caro colega, não se preocupe mais com o DEVE ou o CONVÉM, da ISO 27001 e ISO 27002, respectivamente. Eles já não são mais usados pra indicar se uma questão está certa ou errada.
--------------------------------------------------------------
Segundo a ISO 27002:2013,"11.2.5 Remoção de ativos
Controle
Convém que equipamentos, informações ou software não sejam retirados do local sem autorização prévia.
Diretrizes para implementação
Convém que sejam levadas em consideração as seguintes diretrizes:
a)convém que sejam claramente identificados os funcionários, fornecedores e partes externas que tenham autoridade para permitir a remoção de ativos para fora do local;
b)convém que sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devolução seja controlada;
c)Sempre que necessário ou apropriado, é recomendado que seja feito um registro da retirada e da devolução de ativos, quando do seu retorno;
d)convém que a identidade, atribuição e função de qualquer pessoa que manuseia ou utiliza os ativos estejam documentados, e que esta documentação seja devolvida com o equipamento, a informação ou software."