Acerca dos controles CIS e das previsões das normas NBR ISO/IEC 27001 e 27002, julgue o item a seguir.

A NBR ISO/IEC 27001 recomenda que, quando os objetivos de segurança da informação não forem mensuráveis, leve-se em conta apenas os resultados da avaliação e do tratamento de riscos.