Segundo a ABNT NBR ISO/IEC 27001:2006, para estabelecer o Sistema de Gestão de Segurança da Informação (SGSI), a organização deve definir uma política do SGSI nos termos das características do negócio, da organização, da sua localização, dos ativos e da tecnologia. Assinale o item que não se enquadra na política do SGSI:
não necessitar de aprovação pela direção.
estabelecer critérios em relação aos quais os riscos serão avaliados.
considerar requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais.
estar alinhado com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer.
incluir uma estrutura para definir objetivos e estabelecer um direcionamento global e princípios para ações relacionadas com segurança da informação.