A Na norma NBR ISO/IEC 27001, especificam-se requisitos para o estabelecimento, a implementação, a operação, a monitoração, a análise crítica, a manutenção e a melhoria de um SGSI. Em razão de serem bem específicos, esses requisitos são aplicáveis somente a alguns tipos de organizações.
B Segundo a norma NBR ISO/IEC 27001, a organização deve identificar e gerenciar os processos envolvidos em um SGSI, bem como reconhecer suas interações.
C Para estruturar todos os processos envolvidos em um SGSI, estabelece-se, na norma NBR ISO/IEC 2700, a adoção do cicloPERT(program evaluation and review technique),ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.
D Segundo a NBR ISO/IEC 27002, os ativos da organização devem ser mantidos e protegidos, sendo necessários, primeiramente, o seu levantamento e a sua identificação com base em informações fornecidas pelos proprietários, também devidamente identificados e designados, de modo que um inventário de ativos possa ser estruturado e, posteriormente, descartado.
E De acordo com a NBR ISO/IEC 27002, as informações e os ativos da organização não precisam ser classificados, necessariamente, conforme o nível de proteção recomendado para cada um deles, nem o tratamento desses dados deve seguir regras documentadas, que definem os usos permitidos desses ativos.