Vamos analisar cada uma das alternativas apresentadas em relação ao Sistema de Gestão de Segurança da Informação (SGSI) conforme a norma ISO/IEC 27001: 1. O SGSI se baseia em um ciclo contínuo de melhoria (PDCA), envolvendo planejamento, implementação, verificação e ação corretiva sobre os controles de segurança. - Esta alternativa está correta, pois o ciclo PDCA (Plan, Do, Check, Act) é um princípio fundamental do SGSI, promovendo a melhoria contínua. 2. O SGSI tem como objetivo principal a implementação de antivírus e firewalls, sendo focado exclusivamente em soluções técnicas de proteção. - Esta alternativa é incorreta, pois o SGSI abrange uma abordagem mais ampla que inclui políticas, processos e gestão de riscos, não se limitando a soluções técnicas. 3. O SGSI é uma abordagem pontual para resposta a incidentes de segurança, aplicável apenas após a ocorrência de uma violação de dados. - Esta alternativa também é incorreta, pois o SGSI deve ser proativo e não apenas reativo. 4. O SGSI dispensa a definição de responsabilidades, já que a segurança da informação é uma atribuição coletiva e informal dentro da organização. - Esta alternativa é falsa, pois a definição de responsabilidades é crucial para a eficácia do SGSI. 5. O SGSI deve ser conduzido apenas pela equipe técnica de TI, não sendo necessária a participação da alta direção da empresa. - Esta alternativa é incorreta, pois a alta direção deve estar envolvida para garantir o suporte e a alocação de recursos necessários. Portanto, a alternativa correta é: O SGSI se baseia em um ciclo contínuo de melhoria (PDCA), envolvendo planejamento, implementação, verificação e ação corretiva sobre os controles de segurança.