(FCC/2012 - adaptado) Todas as atividades desenvolvidas por uma organização detêm certo grau de risco. Sobre o gerenciamento de riscos é correto afirmar: A) Convém que a análise/avaliação de informações, e inclua os resultados específicos da segurança da informação; B) Os resultados da análise/avaliação de riscos apropriadas e as prioridades para a implementação dos controles selecionados para proteção contra estes riscos; C) A análise/avaliação de riscos deve contemplar todos os riscos internos e externos que podem afetar a continuidade do negócio; D) Uma vez que os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, é necessário que controles sejam implementados para assegurar que todos os riscos sejam eliminados, ou seja, reduzidos zero.
