Letra C.
Segundo a ISO 27001:2005
"4.2.1 Estabelecer o SGSI
A organização deve:
j) Preparar uma Declaração de Aplicabilidade.
Uma Declaração de Aplicabilidade deve ser preparada, incluindo o seguinte:
1) Os objetivos de controle e os controles selecionados em 4.2.1g) e as razões para sua seleção;
2) Os objetivos de controle e os controles atualmente implementados (ver 4.2.1e)2)); e
3) A exclusão de quaisquer objetivos de controle e controles do anexo A e a justificativa para sua exclusão.
NOTA A Declaração de Aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos.
A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente."
A versão 27001:2013 prevê a existência da "Declaração de Aplicabilidade".
"6.1.3 Tratamento de riscos de segurança da informação.
d) elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3b ) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para a exclusão dos controles do anexo a;"