Vamos analisar cada afirmativa: I. O nível de riscos é dado pela combinação da probabilidade de algum acontecimento com o cálculo do impacto gerado pelos eventos que podem ocorrer. Verdadeiro, essa é uma definição básica de como se calcula o nível de risco. II. Os controles utilizados pela segurança da informação são determinados pelo cruzamento da análise das ameaças e as infraestruturas utilizadas pela equipe de TI, antes da verificação dos riscos. Falso, os controles são geralmente definidos após a análise de riscos, não antes. III. De acordo com a Norma ISO 31000, a avaliação dos riscos depende de dois fatores: a probabilidade dos eventos e o cálculo do fator de impacto nos negócios. Verdadeiro, essa afirmativa está correta e reflete os princípios da norma ISO 31000. IV. O impacto deve levar em consideração as questões financeiras e tributárias como resultantes das ameaças expostas à empresa. Verdadeiro, o impacto de riscos deve considerar aspectos financeiros e tributários, entre outros. Agora, vamos ver quais alternativas contêm apenas as afirmativas verdadeiras: - A) I e II. (Falsa, pois II é falsa) - B) I, II e IV. (Falsa, pois II é falsa) - C) I e III. (Verdadeira, ambas são verdadeiras) - D) I, III e IV. (Verdadeira, todas são verdadeiras) - E) II e IV. (Falsa, pois II é falsa) As alternativas corretas são C) I e III e D) I, III e IV. Como a questão pede a alternativa que contém todas as afirmativas verdadeiras, a melhor escolha é a alternativa D) I, III e IV.