Vamos analisar cada uma das assertivas sobre normas relacionadas à segurança da informação: ( ) A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. É verdadeira (V). A gestão de riscos abrange todas essas etapas, sendo fundamental para a segurança da informação. ( ) A elaboração de uma política de segurança da informação deve ser o primeiro passo de uma organização que deseja proteger seus ativos e estar livre de perigos e incertezas. É verdadeira (V). A política de segurança é um documento essencial que orienta todas as ações de segurança da informação na organização. ( ) Autenticidade refere-se à propriedade de salvaguarda da exatidão e completeza da informação. É falsa (F). A autenticidade está mais relacionada à garantia de que a informação é genuína e que a fonte é confiável, enquanto a exatidão e completude referem-se à integridade da informação. ( ) A norma ISO/IEC 15408 (Common Criteria) é a versão brasileira da BS 7799 (British standard) e especifica os requisitos para implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. É falsa (F). A ISO/IEC 15408 não é a versão brasileira da BS 7799; na verdade, a BS 7799 é uma norma que foi substituída pela ISO/IEC 27001, que trata de sistemas de gestão de segurança da informação. Portanto, a sequência correta é: V, V, F, F. A alternativa correta é: d) V, V, F, F.