A equipe de analistas apresentou um plano de segurança da informação a um dos mais tradicionais e capilarizados ministérios do Brasil, desenvolvido após um extenso trabalho de pesquisa, ao longo de alguns meses. O documento, que aborda um grande número de tópicos sobre segurança da informação no ministério, contém análises, diagnósticos, problemas, soluções possíveis e propostas, organizados na forma de capítulos. Alguns dos capítulos são listados a seguir.
-Conceitos de segurança da informação
-Proposta de política de segurança
-Classificação de informações
-Auditoria e conformidade
-Controle de acessos físicos e lógicos
-Indicadores e métricas
-Gestão de vulnerabilidades
-Gestão de riscos
-Criptografia
-Gestão de continuidade de negócio
-Terceirização de atividades ligadas à segurança da informação
-Segurança em bancos de dados
-Segurança no desenvolvimento de aplicações web
-Segurança em redes de computadores
-Resposta a incidentes computacionais em redes
O plano também contém um capítulo de revisão de normas brasileiras de segurança da informação, da série NBR da ABNT, tais como NBR 27001, NBR 27002 e NBR 27005.
Após a apresentação do plano de segurança à administração superior do ministério, aos assessores e aos convidados por meio de chamada pública, vários debates foram realizados, e foi variado o grau de conhecimento sobre os conceitos e as características do plano, de sua elaboração e do projeto de implantação.
Tendo como referência a situação hipotética apresentada, julgue o item a seguir, acerca de conceitos de segurança da informação possivelmente articulados no plano.
Os procedimentos de produção de métricas e indicadores de gestão de segurança da informação devem ser mais bem orientados pelo conjunto de prescrições encontradas na norma NBR 27005, de gestão de riscos de segurança da informação, que pelos processos descritos na norma NBR 27001.