A Os requisitos de segurança da informação de uma organização são obtidos por três fontes principais, sendo a análise/avaliação de riscos uma delas.
B Visando reduzir os riscos a um nível aceitável, a seleção de controles apropriados para implementação da segurança da informação é efetuada imediatamente após a identificação dos fatores de risco.
C No escopo legal da segurança da informação, há três controles essenciais para uma organização: o documento da política de segurança da informação, a atribuição de responsabilidades pela segurança da informação e o processamento correto das aplicações.
D A cultura organizacional não influencia a adoção de abordagem e estrutura para implementação, monitoramento e melhoria da segurança da informação.
E A segurança da informação é alcançada por meio da adoção de um conjunto de tecnologias adequadas.