Analise as seguintes afirmativas acerca do SGSI, considerando a norma NBR ISO/IEC 27.001:

I. O termo SGSI refere-se à parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação.

II. Os objetivos de controle e controles aplicáveis ao SGSI da organização estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação.

III. A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.

Quais as afirmativas estão corretas?