A Todos os riscos identificados devem ser tratados com a mesma severidade.
B A avaliação de risco é o processo de comparação de resultados da análise de risco com certos critérios para se determinar como o risco será aceito ou tratado.
C As informações acerca de riscos de segurança da informação devem ser consideradas atomicamente, ou seja, de maneira isolada, dentro da organização.
D O proprietário do risco é definido como a parte interessada que sofrerá a consequência direta no caso da ocorrência do evento adverso.
E A identificação de riscos com base em eventos identifica ameaças e vulnerabilidades específicas de ativos e permite o tratamento de riscos específicos em um nível detalhado.