A A política de segurança da informação define o que deve ser protegido, por quê, e também quem será o responsável pela proteção, provendo uma base para decisões futuras.
B A avaliação de riscos deve abranger o que deve ser protegido e contra o quê. Porém, não deve levar em consideração o esforço, o tempo e os recursos necessários.
C Vulnerabilidade é umafeaturede umsoftwareque, quando explorada, pode levar a comportamento não desejado.
D O risco de um ataque é proporcional à sua facilidade de execução.
E A ameaça é o produto do risco pelo custo da proteção.