A a legislação brasileira possui dispositivos legais relacionados à segurança da informação, tais como o Decreto n. 79.099, de 1997, que se aplica à interceptação do fluxo de comunicação em sistemas de informática e telemática.
B a definição técnica de ameaça é a conseqüência de uma vulnerabilidade do sistema ter sido explorada.
C a análise de riscos engloba tanto a análise de ameaças e vulnerabilidades quanto a análise de impactos, a qual identifica os componentes críticos e o custo potencial ao usuário do sistema.
D a observação e conhecimento de informações armazenadas em sistemas ou a análise do tráfego de uma rede são considerados ataques ativos.
E a gerência de segurança engloba o gerenciamento de riscos, e estabelece processos de revisão e verificação de registros e atividades, com o intuito de testar a adequação dos controles do sistema, garantindo sua adequação à política de segurança.