Acredito que a questão tenha sido abrangente demais no seguinte trecho:
"O tratamento dos riscos de segurança da informação será efetivo se forem consideradas as várias alternativas para tratamento de todos os riscos vinculados a cada um dos ativos de informação do ministério, tais como mitigar ou reduzir, reter ou aceitar, transferir ou compartilhar, além de ação de evitar o risco."
Ativos? Somente os relevantes.
Riscos? Somente os relevantes também.
Fora a questão bem lembrada pela colega "FFF: Fé", como garantir se será efetivo?
7.3 Escopo e limites
Convém que a organização defina o escopo e os limites da gestão de riscos de segurança da informação.
O escopo do processo de gestão de riscos de segurança da informação precisa ser definido para assegurar que todos os ativos relevantes sejam considerados no processo de avaliação de riscos. Além disso, os limites precisam ser identificados [ver também a ABNT NBR ISO/IEC 27001:2006
Seção 4.2.1.a)] para permitir o reconhecimento dos riscos que possam transpor esses limites.
8.3.4 Determinação do nível de risco
Entrada: Uma lista de cenários de incidentes com suas consequências associadas aos ativos, processos de negócio e suas probabilidades (no método quantitativo ou no qualitativo).
Ação: Convém que o nível de risco seja estimado para todos os cenários de incidentes considerados relevantes (refere-se à ABNT NBR ISO/IEC 27001:2006, Seção 4.2.1 e) 4)).
Fonte: ISO 27005:2011