Uma empresa deseja formalizar diretrizes que definam como seus colaboradores devem proteger informações confidenciais, utilizar recursos de TI e reagir a incidentes de segurança. Essas diretrizes devem ser documentadas, revisadas periodicamente e aplicáveis a todos os níveis da organização, de forma a reduzir riscos, garantir conformidade legal e proteger ativos de informação. Assinale a alternativa que contém o conceito que descreve corretamente esse conjunto de regras e diretrizes.