Segundo NBR/ISO 27002:2013, seção 0.3 Seleção de controle:
"A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização."
Ainda segundo a norma, o resultado da avaliação de risco é uma das fontes de requisitos de segurança da informação. (E objetivos de controle são selecionados para atender requisitos).
CERTO.
"Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes."
Fonte: ABNT NBR ISO/IEC 27001
Tanto a norma 27001, como a 27002, destacam em vários pontos a necessidade da análise de riscos.