Vamos analisar cada afirmativa: I. Um dos princípios básicos para a eficácia de uma política de segurança da informação é que ela seja revisada apenas quando ocorrerem grandes mudanças tecnológicas, não havendo necessidade de revisão periódica caso o ambiente permaneça estável. Falso. Políticas de segurança da informação devem ser revisadas periodicamente, independentemente de mudanças tecnológicas, para garantir que permaneçam eficazes e relevantes. II. A existência de um Comitê de Segurança da Informação é recomendada para integrar diferentes áreas da organização nas decisões relacionadas à segurança, promovendo alinhamento entre setores como TI, jurídico e gestão de riscos. Verdadeiro. Essa afirmativa está correta, pois um comitê pode facilitar a comunicação e a colaboração entre diferentes áreas. III. A equipe técnica de segurança tem como função principal realizar análises de vulnerabilidades, gerenciar incidentes e aplicar controles técnicos definidos nas políticas de segurança. Verdadeiro. Essa afirmativa está correta, pois essas são funções típicas da equipe de segurança da informação. IV. O CISO (Chief Information Security Officer) é o responsável direto por aprovar a política de segurança da informação e alocar os recursos necessários para sua implementação. Verdadeiro. Essa afirmativa está correta, pois o CISO geralmente tem essa responsabilidade. V. Segundo a ISO/IEC 27001, a alta direção deve demonstrar compromisso com a segurança da informação, garantindo que as políticas sejam aprovadas, implementadas e alinhadas aos objetivos organizacionais. Verdadeiro. Essa afirmativa está correta, pois a alta direção deve estar envolvida na segurança da informação. Com base nas análises, as afirmativas verdadeiras são II, III, IV e V. Portanto, a alternativa correta que contém todas as afirmativas verdadeiras é: "é correto APENAS O que se afirma em: II, III, IV e V". Como não há uma opção que corresponda a isso, a resposta correta não pode ser determinada a partir das opções fornecidas.