A A adoção de controles de segurança deve ser proporcional à criticidade dos ativos e ao impacto potencial de um incidente.
B A gestão de riscos deve ser um processo contínuo, com reavaliações periódicas para adaptação às novas ameaças e vulnerabilidades.
C Uma vez definido, o plano de gestão de riscos não precisa ser atualizado, pois a maior parte das ameaças se mantém estável ao longo do tempo.
D A identificação de ameaças deve considerar tanto fatores técnicos quanto humanos, analisando riscos de falhas operacionais e ataques mal-intencionados.