De acordo com a Norma ABNT NBR ISO/IEC 27005, assinale a opção correta a respeito da gestão de risco de TI.
Na etapa de definição do contexto, a organização busca atingir seus objetivos; nela, são determinados os valores dos ativos da organização, identificadas as ameaças e vulnerabilidades existentes e determinadas as potenciais consequências dessas ameaças e vulnerabilidades.
A presença de uma vulnerabilidade é sempre uma ameaça à segurança da informação. A identificação das vulnerabilidades é realizada na etapa de análise/avaliação de riscos.
Na etapa de aceitação de risco, lida-se com modelos predefinidos de escalas de níveis, dentre os quais a organização deve optar pelo mais adequado aos seus negócios.
Na etapa de monitoramento de riscos, recomenda-se que as vulnerabilidades e os riscos sejam reavaliados periodicamente, entre um mês e um semestre.
A etapa de tratamento de risco conta com as seguintes opções, não excludentes entre si: redução, retenção, evitação e transferência de risco.