Apesar de conter as diretrizes para implantar a gestão de riscos de segurança da informação, a referida norma não apresenta em seu conteúdo uma metodologia para a gestão de riscos.

A diferença entre a redução do risco e a retenção do risco ocorre na medida em que o segundo chega a eliminar uma atividade planejada ou a mudar as condições de operação para que o risco seja eliminado.

Mesmo que uma organização não considere relevante uma propriedade da segurança, como, por exemplo, a disponibilidade, é mandatório que se levantem os riscos associados a esse tipo de impacto.

Perímetro de segurança física é o controle responsável pela identificação de todos os indivíduos que circulam pela organização.

A vulnerabilidade denominada scripts entre sítios ou cross site scripting (XSS) é uma consequência da aplicação inadequada do controle validação de dados de saída.

A validação de dados de entrada é um controle que, se aplicado rigorosamente, é suficiente para remediar problemas de sistemas, em especial o estouro de buffer.

Segregação de funções é o controle que trata da separação de ambientes de desenvolvimento, de testes e de operação, para garantir que um problema localizado em qualquer um deles não interfira nos demais.

Quando um documento de classificação menos restritiva recebe partes de outro documento de classificação mais restritiva, o primeiro assume a classificação do segundo.

A classificação da informação, de acordo a referida norma, deve observar os níveis público, restrito e sigiloso.

Os procedimentos para interpretar os rótulos de classificação devem manter-se restritos à organização que os classifica.