Segundo a ISO 27005 - Gestão de riscos em TI, sobre os
critérios para a aceitação do risco, convém que os seguintes
tópicos, entre outros, sejam considerados durante o
desenvolvimento, como:
I. Critérios para a aceitação do risco podem incluir mais de
um limite, representando um nível desejável de risco;
porém, precauções podem ser tomadas por gestores
seniores para aceitar riscos acima desse nível, desde que
sob circunstâncias definidas.
I. Critérios para a aceitação do risco podem ser expressos
como a razão entre o lucro estimado e o risco estimado.
III. Diferentes critérios para a aceitação do risco podem ser
aplicados a diferentes classes de risco, por exemplo:
riscos que podem resultar em não conformidade com
regulamentações ou leis podem não ser aceitos,
enquanto riscos de alto impacto poderão ser aceitos se
isso for especificado como um requisito contratual.
Está(ão) CORRETO(S):