Vamos analisar as alternativas uma a uma: a) A fase de identificação de riscos ocorre apenas uma vez no processo de segurança, sendo suficiente para a elaboração de um plano definitivo. - Esta afirmação está incorreta, pois a identificação de riscos deve ser um processo contínuo, não uma atividade única. b) O mapeamento de vulnerabilidades é uma etapa posterior à resposta ao risco, com o objetivo de validar as ações tomadas. - Esta afirmação também está incorreta, pois o mapeamento de vulnerabilidades geralmente ocorre antes da resposta ao risco, para identificar quais vulnerabilidades precisam ser tratadas. c) A análise de risco deve ser tratada como um processo contínuo, pois os ambientes corporativos estão sujeitos a mudanças frequentes. - Esta afirmação está correta, pois a análise de risco deve ser revisitada regularmente para se adaptar às mudanças no ambiente. d) A implementação de medidas de segurança física dispensa a consideração - Esta afirmação está incompleta e não faz sentido, pois a segurança deve considerar múltiplas camadas, incluindo segurança física e outras. Portanto, a alternativa correta é: c) A análise de risco deve ser tratada como um processo contínuo, pois os ambientes corporativos estão sujeitos a mudanças frequentes.