Analisando as afirmações sobre política de segurança da informação: a. antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida e isto é feito, geralmente, através de uma análise de riscos. - Correto. A definição da informação a ser protegida e a análise de riscos são passos importantes na elaboração de uma política de segurança. b. a política de segurança não estipula as penalidades às quais estão sujeitos aqueles que a descumprem. - Incorreto. Uma política de segurança geralmente estipula as penalidades para o descumprimento das diretrizes estabelecidas. c. questões relacionadas ao uso de senhas (requisitos para formação de senhas, período de validade das senhas etc.) não são cobertas pela Política de Segurança da Informação. - Incorreto. As políticas de segurança da informação geralmente abordam questões relacionadas ao uso de senhas, como requisitos e prazos de validade. d. a política de segurança é escrita e implantada somente pelo departamento de TI. - Incorreto. Embora o departamento de TI desempenhe um papel importante, a elaboração e implementação da política de segurança envolvem várias áreas da organização. e. as políticas de segurança definem procedimentos específicos de manipulação e proteção da informação, mas não atribuem direitos e responsabilidades às pessoas que lidam com essa informação. - Incorreto. As políticas de segurança geralmente atribuem direitos e responsabilidades às pessoas que lidam com a informação, estabelecendo diretrizes claras de conduta. Portanto, a alternativa correta é: a. antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida e isto é feito, geralmente, através de uma análise de riscos.