Acerca da gestão de riscos da segurança da informação, julgue os itens subsecutivos, com base na norma ISO/IEC 27005.
A identificação dos controles existentes, para assegurar se são ou não efetivos, não deve limitar-se apenas aos documentos como planos de tratamentos de riscos, devendo ser feita também junto às pessoas responsáveis pela segurança da informação.