Sobre a ISO 27001:2013, que aborda a mitigação dos riscos à segurança, analise as seguintes asserções e a relação proposta entre elas:
I. Antes de considerar o tratamento de um risco, a organização deve definir um critério para avaliar
se os riscos podem ou não ser aceitos. Uma decisão de tratamento do risco deve ser tomada para
cada um que for identificado após a sua avaliação.
PORQUE
II. Os controles de risco podem ser selecionados a partir da norma ISO 27002, ou de outros conjuntos
de controle que a empresa use, ou novos controles podem ser projetados para atender às necessidades específicas da organização.
A respeito dessas asserções, assinale a alternativa correta.