A A detecção e a correção de incidentes de segurança da informação não fazem parte da cadeia de entrega de valor, mas sim do gerenciamento de serviços.
B Processos de segurança da informação extremamente rigorosos sempre devem ser prioridade diante dos objetivos de inovação da organização.
C O time de desenvolvimento pode atuar ativamente no processo de identificação e correção de incidentes de segurança, e, portanto, não deve ser percebido como um potencial ponto de vulnerabilidade.
D O gerenciamento da segurança da informação não deve se estender aos clientes da organização, que não participam do processo de definição de políticas e podem ser um ponto de vulnerabilidade.
E O não repúdio consiste em assegurar a identidade de qualquer agente que executa uma ação dentro da organização.