A questão chamou de processo de avaliação de riscos, o processo de Análise/Avaliação de riscos por completo. Onde na primeira atividade temos a Identificação de riscos, com a Estimativa de riscos na sequência e, finalizando com a Avaliação de riscos (onde é feito uma comparação com os riscos estimados e valores predefinidos). Segue o trecho da 27.005 que aborda essa ordem:
"A análise/avaliação de riscos consiste nas seguintes atividades:
1. Análise de riscos (Seção 8.2) compreende:
1.1 Identificação de riscos (Seção 8.2.1)
1.2 Estimativa de riscos (Seção 8.2.2)
2. Avaliação de riscos (Seção 8.3)"
Bons estudos!
Resumo da norma ISO 27005:2011
7 Definição do contexto
7.2.2 Critérios para a avaliação de riscos
7.2.3 Critérios de impacto
7.2.4 Critérios para a aceitação do risco
8 Processo de avaliação de riscos de segurança da informação
8.2 Identificação de riscos
8.2.2 Identificação dos ativos
8.2.3 Identificação das ameaças
8.2.4 Identificação dos controles existentes
8.2.5 Identificação das vulnerabilidades
8.2.6 Identificação das consequências
8.3 Análise de riscos
8.3.2 Avaliação das consequências
8.3.3 Avaliação da probabilidade dos incidentes
8.3.4 Determinação do nível de risco
8.4 Avaliação de riscos
9 Tratamento do risco de segurança da informação
9.2 Modificação do risco
9.3 Retenção do risco
9.4 Ação de evitar o risco
9.5 Compartilhamento do risco
10 Aceitação do risco de segurança da informação
11 Comunicação e consulta do risco de segurança da informação
12 Monitoramento e análise crítica de riscos de segurança da informação