Coloco a correção das erradas também. Respostas conforme o tópico da iso 27002, 4.1 Analisando/avaliando os riscos de segurança da informação.
A)(ERRADA). Na verdade o escopo de uma análise/avaliação de riscos pode tanto ser em toda a organização, partes da organização, em um sistema de informação específico, em componentes de um sistema específico ou em serviços onde isto seja praticável, realístico e útil.
____________________________
B)(ERRADA). Na verdade o processo de avaliar os riscos e selecionar os controles pode precisar ser realizado várias vezes, de forma a cobrir diferentes partes da organização ou de sistemas de informação específicos.
____________________________
C) (ERRADA). Na verdade essas análises/avaliações de riscos devem ser realizadas de forma metódica, capaz de gerar resultados comparáveis e reproduzíveis.
____________________________
D) (CORRETA).
____________________________
E) (ERRADA). Na verdade é com base em critérios para aceitação dos riscos e dos objetivos relevantes para a organização.