A NBR ISO/IEC 27005 define risco como a combinação das consequências advindas da ocorrência de um determinado evento indesejado com a probabilidade de ocorrência desse mesmo evento. A análise e a avaliação de riscos capacitam os gestores a priorizar os riscos.

De acordo com essa norma, a atividade de análise de riscos inclui

A NBR ISO/IEC 27001 foi preparada para prover requisitos que estabeleçam um sistema de gestão de segurança da informação (SGSI), ao passo que a ISO/IEC 27002 foi projetada para organizações que usem a norma como uma referência para selecionar controles no processo de implementação do SGSI.

Em relação a essas normas, assinale a opção correta.

A segurança da informação visa garantir confidencialidade, integridade e disponibilidade dos ativos, além de manter o impacto e a ocorrência de incidentes de segurança da informação nos níveis exigidos pela organização.

A partir dessas informações, é correto afirmar que o gerenciamento da segurança da informação é tratado