6.1.3 Tratamento de riscos de segurança da informação.
A organização deve definir e aplicar um processo de tratamento dos riscos de segurança da informação para:
e) preparar um plano para tratamento dos riscos de segurança da informação;
f) obter a aprovação dos responsáveis pelos riscos do plano de tratamento dos riscos de segurança da informação, e a aceitação dos riscos residuais de segurança da informação;
------------------------
Ainda segundo a norma, existem quatro opções para tratamento de riscos: Aceitar, Transferir, Mitigar ou Evitar. Sendo assim, após o tratamento dos riscos, outros podem surgir, sendo esses riscos residuais.
GAB: Letra A
Fonte: ISO 27001/2013, páginas 6 e 7.
Corrigindo:
A) O processo utilizado para modificar um risco é chamado de tratamento de risco. Esse processo pode criar novos riscos.
B) O efeito de um risco representa um desvio negativo ou positivo com relação a uma situação ou condição esperada.
C) O risco deve ser caracterizado de forma clara e objetiva, com referências a eventos potenciais ou suas consequências.
D) O processo de avaliação de risco deve definir critérios objetivos para determinar se o risco é aceitável para a organização.