As políticas, normas e procedimentos de segurança da informação
- A. não necessitam do envolvimento da alta administração, já que são responsabilidade da área de TI.
- B. devem estar alinhadas com as estratégias de negócio da empresa, padrões e procedimentos já existentes.
- C. devem ser concentradas exclusivamente em ações proibitivas e punitivas, para garantir a segurança dos recursos de informação e a responsabilização legal daqueles que infringirem as normas e procedimentos de segurança.
- D. são criadas e implantadas pelo Comitê de Segurança da Informação, constituído na sua totalidade por profissionais das áreas administrativas e de Tecnologia da Informação.
- E. devem abranger todos os serviços e áreas da organização e ser implantadas de uma única vez para minimizar a possível resistência de alguns setores da empresa.