Na página 2 da norma ISO/IEC 17799:2005 (atualmente 27002:2005) encontra-se a definição de gestão de riscos:
2.13 - Gestão de Riscos: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. NOTA: A gestão geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]
Assim sendo, alternativa B
Só um complemento segundo outra norma da ABNT ISO.
Segundo a ISO 27005, "
6 Visão geral do processo de gestão de riscos de segurança da informação
O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."