A A norma referida apresenta como fatores críticos para sucesso de implementação a política de segurança, abordagem e estrutura da segurança consistente com a cultura organizacional, comprometimento de todos os níveis gerenciais, um bom entendimento dos requisitos de segurança da informação e estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação.
B Dá-se o nome de ativos de informação a tudo que tenha valor financeiro no contexto da organização. Além de base de dados, arquivos e contratos, citam-se como exemplo, aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.
C Um incidente de segurança da informação é indicado por um simples ou por uma série de eventos de segurança da informação indesejados ou inesperados, que demostrem qualquer probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
D Ao conjunto de práticas operacionais de uma organização com objetivo de prover uma orientação e apoio à segurança da informação de acordo com os requisitos de negócio, as leis e regulamentos pertinentes e especificações técnicas e procedimentais, é dado o nome de política de segurança.