Em relação ao processo de gestão de riscos, considere as seguintes afirmações:
I. A gestão de riscos de segurança da informação deve ser apoiada pela alta direção e alinhada com os requisitos de negócios.
II. Cada empresa define o risco aceitável que é o nível de risco que a organização está propensa a correr para atingir suas metas.
III. É possível adotar uma abordagem genérica para o processo de gestão de riscos, de modo que a mesma abordagem possa ser adotada em outra empresa.
É correto o que se afirma em: