Responda a esta questão com base nas normas da família ISO/IEC 27000 "Tratamento de riscos de segurança da informação" .

Antes de considerar o tratamento de um risco, a organização deve decidir critérios para determinar se os riscos podem, ou não, serem aceitos. Riscos podem ser ou não aceitos se, por exemplo, considerar·se que o risco é baixo ou que o custo do tratamento não é rentável para a organização. Para cada um dos riscos identificados na sequência de avaliação de risco, a decisão de tratamento do risco precisa ser feita. As possíveis opções para o tratamento de riscos incluem o exposto a seguir, exceto pela alternativa: