Fiquei na dúvida nessa questão. Segundo a NBR ISO/IEC 27001/2006:
4.3.2 Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve
ser estabelecido para definir as ações de gestão necessárias para: (...)
f) assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos,
armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação;
h) assegurar que a distribuição de documentos seja controlada;
Comunicados amplamente para os seus colaboradores? Não seriam apenas aos autorizados? Essa questão me parece ERRADA. Essa outra questão foi dada como CERTA:
(SERPRO/2013 – Técnico – Operação de Redes – 73) Não é
conveniente que os documentos requeridos pelo SGSI sejam distribuídos para
todos os funcionários da organização, mesmo que estes possam contribuir
com o seu conteúdo ou sintam-se responsáveis pela estratégia de segurança
adotada na empresa.
Thiago,
A questão gera mesmo essa dúvida ... mas vou tentar esclarecê-la.
De fato, existe o controle "4.3.2 Controle de documentos
", o qual afirma que os documentos requeridos pelo SGSI devem ser protegidos e controlados.
Mas o controle de documentos é geral: a política de segurança da informação é apenas um, dentre vários documentos que compõem o SGSI: registros, relatórios de auditoria, avaliações de riscos, etc.
E para o documento política de segurança da informação existe um controle específico: "A.5.1.1 Documento da política de segurança da informação"
"Um documento da política de segurança da informação deve ser aprovado pela direção, publicado e comunicado para todos
os funcionários e partes externas relevantes."
Como já vi várias questões parecidas, a dica é: se a questão tratar especificamente do documento de política de segurança da informação, ele deve ser distribuído para todos. Já se tratar dos documentos do SGSI, de forma geral, então a distribuição deve ser controlada.
Fonte: NBR/ISO 27001:2006