ABNT NBR ISO/IEC 27005 (ISO/IEC 27005:2011)
"7.2.4 Critérios para a aceitação do risco
Convém que os critérios para a aceitação do risco sejam desenvolvidos e especificados. Os critérios de aceitação do risco dependem frequentemente das políticas, metas e objetivos da organização, assim como dos interesses das partes interessadas. (EVIDENCIA O ERRO DA C)
Convém que a organização defina sua própria escala de níveis de aceitação do risco. Convém que os seguintes tópicos sejam considerados durante o desenvolvimento:
- Critérios para a aceitação do risco podem incluir mais de um limite, representando um nível desejável de risco, (EVIDENCIA O ERRO DA B)porém precauções podem ser tomadas por gestores seniores para aceitar riscos acima desse nível desde que sob circunstâncias definidas
- Critérios para a aceitação do risco podem ser expressos como a razão entre o lucro estimado (ou outro benefício ao negócio) e o risco estimado (EVIDENCIA O GABARITO A)
- Diferentes critérios para a aceitação do risco podem ser aplicados a diferentes classes de risco, por exemplo: riscos que podem resultar em não conformidade com regulamentações ou leis podem não ser aceitos, enquanto riscos de alto impacto poderão ser aceitos se isto for especificado como um requisito contratual
- Critérios para a aceitação do risco podem incluir requisitos para um tratamento adicional futuro (EVIDENCIA O ERRO DA E), por exemplo: um risco poderá ser aceito se for aprovado e houver o compromisso de que ações para reduzi-lo a um nível aceitável serão tomadas dentro de um determinado período de tempo
Critérios para a aceitação do risco podem ser diferenciados de acordo com o tempo de existência previsto do risco (EVIDENCIA O ERRO DA D), por exemplo: o risco pode estar associado a uma atividade temporária ou de curto prazo. Convém que os critérios para a aceitação do risco sejam estabelecidos, considerando os seguintes itens:
- Critérios de negócio
- Aspectos legais e regulatórios
- Operações
- Tecnologia
- Finanças
- Fatores sociais e humanitários
NOTA Os critérios para a aceitação do risco correspondem aos “critérios para aceitação do risco e identificação do nível aceitável dos mesmos” especificados na ABNT NBR ISO/IEC 27001:2006 Seção 4.2.1.c) 2)."
Espero ter ajudado!