A ABNT NBR ISO/IEC 27001:2022, no item Operação, define ações que a organização deve seguir para planejar, implementar e controlar processos de segurança da informação. São ações referenciadas nesse item:

I. Planejamento e controle operacionais – estabelecer critérios e implementar controle dos processos.
II. Avaliação de riscos da segurança da informação – realizar avaliações de riscos em intervalos planejados.
III. Tratamento de riscos da segurança da informação – implementar o plano de tratamento de riscos.


Quais estão corretas?