Sobre fontes de requisitos de segurança de informação, de acordo com a NBR ISSO/IEC 17799:2005, considere as seguintes afirmativas:

1. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as suas vulnerabilidades e é realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

2. A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural, também são uma fonte de segurança.

3. Constitui uma das fontes um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações.

4. Falhas apontadas por auditoria externa, em levantamento independente, mesmo que de forma anônima e abrangendo acesso não autorizado a ativos informacionais, são consideradas fontes de requisitos.

Assinale a alternativa correta.