Gestão de riscos é o processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que
contempla as atividades de identificar, avaliar e gerenciar potenciais eventos que possam afetar a organização, destinado a
fornecer segurança razoável quanto à realização de seus objetivos.
(Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/gestao-riscos. Acesso em: 20/04/2023.)
Para reduzir os riscos é necessário implementar controles adequados, isso inclui políticas, procedimentos, diretrizes, práticas
ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão, ou legal. Podem ser selecionados a partir de normas preestabelecidas ou de conjunto de controles específicos como, por exemplo, as normas: Normas
ABNT NBR ISO/IEC 27001:2013 e ABNT NBR ISO/IEC 27002:2013, ABNT NBR ISO/IEC 22301, ABNT NBR ISO 31000:2018. Sobre
a norma ABNT NBR ISO/IEC 27001:2013, analise as afirmativas a seguir.
I. Especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).
II. Busca de forma objetiva e genérica apresentar os requisitos aplicáveis a todas as organizações, independentemente do tipo,
tamanho ou natureza.
III. Ao utilizar a norma na organização, não é necessário utilizar todos os requisitos para satisfazer os critérios de aceitação de
riscos; isso varia de acordo com cada empresa.
IV. Os requisitos são divididos em sete categorias: contexto da organização; liderança; planejamento; apoio; operações; avaliação do desempenho; e, melhoria.
Está correto o que se afirma apenas em