Segundo a norma NBR ISO/IEC 17799:2005, NÃO se trata de uma ...

Na página 2 da norma ISO/IEC 17799:2005 (atualmente 27002:2005) encontra-se a definição de gestão de riscos:

2.13 - Gestão de Riscos: Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. NOTA: A gestão geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]

Assim sendo, alternativa B

Só um complemento segundo outra norma da ABNT ISO. 

Segundo a ISO 27005, "

6 Visão geral do processo de gestão de riscos de segurança da informação

O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), análise/avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12)."