A Convém que as atividades de segurança da informação sejam coordenadas exclusivamente pela alta direção da organização.
B Convém que a direção da organização não seja envolvida na aprovação da política de segurança da informação uma vez que o SGI é responsável pela coordenação e análise da segurança da informação em toda a organização.
C Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização.
D É aceitável que a segurança dos recursos de processamento da informação e da informação na organização sejam reduzidas devido a introdução de produtos ou serviços oriundos de partes externas, desde que aceito pela direção.
E Acordos com partes externas não podem envolver outras partes. Convém que os acordos que concedem acesso à partes externas incluam a proibição para a designação de outras partes.