Primeiramente, faz-se necessário saber relacionar o processo do SGSI com o processo de gestão de riscos de segurança da informação. Segue:
Planejar
-Definição do contexto
-Processo de avaliação de riscos
-Definição do plano de tratamento do risco
-Aceitação do risco
Executar
-Implementação do plano de tratamento do risco
Verificar
-Monitoramento contínuo e análise crítica de riscos
Agir
-Manter e melhorar o processo de Gestão de Riscos de Segurança da Informação
Para a ISO 27005, risco residual é o risco remanescente após o tratamento do risco. Ora bolas, se risco residual é exatamente aquilo que “sobra" após o Tratamento de Risco, o tratamento dele ocorre após a execução.
Perceba que o tratamento do risco residual ocorre justamente quando você percebe o risco retido e busca agir, retroalimentando o processo com o objetivo de melhorá-lo. Trata-se, portanto, de uma ação corretiva.
Ou seja, o tratamento do risco residual está alinhado com a fase agir do SGSI.
Veja o que ISO diz sobre o risco residual:
"É possível que o tratamento do risco não resulte em um nível de risco residual que seja aceitável. Nessa situação, pode ser necessária uma outra iteração do processo de avaliação de riscos, com mudanças nas variáveis do contexto.”
Essa nova iteração vai justamente manter e melhorar o processo
Portanto, gab E