Segundo a norma NBR ISO/IEC 27005:2011, que trata da
Gestão de Riscos de Segurança da Informação,
A
atividades de análise/avaliação de riscos só podem
ser realizadas uma vez no processo de Gestão de
Riscos.
B
as opções de tratamento do risco são: reduzir o
risco, reter o risco, evitar o risco e ignorar o risco.
C
a atividade de tratamento do risco será iniciada somente
se a avaliação do risco for satisfatória.
D
atividades de tratamento de riscos só podem ser
realizadas uma vez no processo de Gestão de Riscos.
E
a atividade de análise/avaliação de riscos é composta
pelas sub-atividades: identificar os riscos, estimar
os riscos, classificar os riscos e responder aos
riscos.