Vamos analisar cada uma das alternativas para identificar a correta: a) A política de segurança é escrita e implantada pelo departamento de TI, deve ser seguida por todos os funcionários da organização e assinada pelo Gerente de TI, sem envolver a alta gestão, que cuida de assuntos estratégicos. - Esta afirmação é incorreta, pois a alta gestão deve estar envolvida na elaboração da política de segurança, já que ela é um assunto estratégico. b) Questões relacionadas ao uso de senhas (requisitos para formação de senhas, período de validade das senhas etc.) não são cobertas pela Política de Segurança da Informação. Estas questões são tratadas em um manual para criação de senhas seguras, criado pela equipe de TI. - Isso também está incorreto, pois a política de segurança deve abranger diretrizes sobre o uso de senhas. c) Antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida e isto é feito, geralmente, através de uma análise de riscos. - Esta afirmação está correta, pois a análise de riscos é fundamental para entender quais informações precisam de proteção. d) As políticas de segurança definem procedimentos específicos de manipulação e proteção da informação, mas não atribuem direitos e responsabilidades às pessoas que lidam com essa informação. - Isso é incorreto, pois as políticas de segurança também devem atribuir responsabilidades. e) A política de segurança não estipula as penalidades às quais estão sujeitos aqueles que a descumprem. Isto é feito separadamente no manual do usuário entregue pelo RH no momento da contratação. - Isso também está incorreto, pois a política de segurança deve incluir penalidades para o descumprimento. Portanto, a alternativa correta é: c) Antes que a política de segurança seja escrita, é necessário definir a informação a ser protegida e isto é feito, geralmente, através de uma análise de riscos.