Segundo a NBR ISO/IEC 27005, no processo de gestão de riscos da segurança da informação, a definição dos critérios de avaliação de riscos é realizada na atividade
definição do contexto.
identificação de riscos.
análise de riscos.
avaliação de riscos.
tratamento do risco.