Segundo a ISO 27005: Gestão de riscos em TI, considerando-se a identificação de riscos, no que se refere especificamente às áreas onde as vulnerabilidades podem ser identificadas, analisar os itens.

I. Processos e procedimentos.

II. Configuração do sistema de informação.

III. Hardware, software ou equipamentos de comunicação.

IV. Dependência de entidades externas.

]Está CORRETO o que se afirma: