De acordo com a norma ABNT NBR ISO/IEC 27002:2005, é conveniente que este documento contenha, dentre outras, as seguintes informações:

1. Uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio.

2. Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco.

3. Definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação.

O documento citado no texto é

  • A. o Plano de Tratamento de Riscos.
  • B. o Plano de Recuperação de Desastres.
  • C. a Política de Segurança da Informação.
  • D. o Plano de Contingência.
  • E. o Plano de Continuidade do Negócio.