A A responsabilidade de definir as políticas de segurança da informação recai sobre a alta gestão da organização.
B O escopo do sistema de segurança da informação de uma organização é limitado às atividades executadas dentro da própria organização.
C As políticas de segurança da informação não devem, em nenhuma hipótese, estar disponíveis para agentes externos à organização.
D A segurança da informação deve tão somente se preocupar com a prevenção e com a mitigação de incidentes, de modo que a melhoria contínua não é objetivo do planejamento de segurança.
E O desempenho da segurança da informação é disciplina observada holisticamente, não sendo pertinente a responsabilização individual, para fins de privacidade e anonimato.