A Pelo princípio da segregação de funções, conforme a norma ABNT NBR ISO/IEC 27001, a organização não deve manter programas de auditoria; contudo, convém estabelecer acordos de transferência de dados com os órgãos de controle externo, sempre que necessário.
B Conforme a norma ABNT NBR ISO/IEC 27001, a organização deve estabelecer e aplicar um processo em que haja critérios para realizar as avaliações de riscos de segurança da informação, prescindindo-se, nesse processo, de critérios de aceitação de riscos.
C Segundo a norma ABNT NBR ISO/IEC 27002, convém que os riscos de segurança da informação sejam abordados como parte do gerenciamento do projeto, o que é aplicável a qualquer tipo de projeto, independentemente de sua complexidade ou área de aplicação.
D Segundo a norma ABNT NBR ISO/IEC 27002, convém que haja gestão da identidade ainda que não seja possível assegurar que uma identidade esteja especificamente vinculada apenas a uma única pessoa.
E Segundo a norma ABNT NBR ISO/IEC 27002, convém que o processo de alocação e gestão de identidade assegure que senhas pessoais não sejam fáceis de adivinhar, com exceção dos números de identificação pessoal (PIN) gerados automaticamente durante os processos de inscrição.