Para tratar os riscos da segurança da informação, uma
organização deve definir e aplicar um processo contendo
controles sobre seus ativos de informação. Nesse sentido, para
assegurar que a informação receba um nível adequado de
proteção, de acordo com a sua importância para a organização,
deve-se implementar o(a):