A A gestão de riscos deve ser tratada exclusivamente pela equipe técnica de TI, sem envolvimento da alta direção.
B Riscos de segurança da informação devem ser tratados apenas após causarem impacto financeiro visível.
C A gestão de riscos deve estar integrada à governança de TI, com papéis definidos e tomada de decisão em níveis estratégicos.
D A principal função da gestão de riscos é garantir que todos os sistemas operem com desempenho máximo, independentemente de ameaças externas.
E A governança de TI recomenda que se aceitem todos os riscos operacionais para priorizar agilidade nos projetos.