Senhores tomei como base para responder esta questão o seguinte trecho da norma de segurança ISO 27002. Caso encontrem outras fontes confiáveis, postem aqui para auxiliar os demais colegas. =]
Segundo a ISO 27002,
"0.5 Seleção de controles
Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável."