O emprego de mecanismos de controle de acesso obrigatório ou mandatório possibilita o alcance de segurança multinível em bancos de dados, algo que é bem mais difícil de ser alcançado com mecanismos de controle de acesso flexíveis ou discricionários. No primeiro caso, são empregados esquemas de classificação da informação. No último, em geral, empregam-se listas de controle de acesso.

Acerca das técnicas gerais de ataques e vulnerabilidades de aplicações, é correto afirmar que vulnerabilidades de SQL injection são minimizadas por meio do uso de prepared statements; ataques de heap overflow ocorrem com maior freqüência em linguagens com tipos de dados fracos que em linguagens com tipos de dados fortes; ataques de dicionário são tecnicamente mais complexos de empreender quando são empregados hashes criptográficos embasados no algoritmo MD5 que no caso do algoritmo SHA1.

Rootkits apresentam portabilidade entre plataformas e devem ser manuseados conforme os controles estabelecidos no capítulo relativo à aquisição, desenvolvimento e manutenção de sistemas de informação da NBR 17799.

São características típicas dos malwares: cavalos de tróia aparentam realizar atividades úteis; adwares obtêm e transmitem informações privadas do usuário; backdoors estabelecem conexões para fora da rede onde se encontram; worms modificam o código de uma aplicação para propagar-se em uma rede; e botnets realizam ataques articulados por meio de um controle remoto.

Acerca do gerenciamento das operações e comunicações segundo a NBR 17799, considere o uso combinado de três tipos de backups: pleno (full), incremental e diferencial. Nesse caso, é correto afirmar que, no evento de um desastre, uma estratégia embasada em backup pleno mais incremental atenderá a uma métrica RPO (recovery point objective) de melhor qualidade que uma estratégia embasada em backup pleno mais diferencial.

Um plano de continuidade de negócios distingue-se de um plano de recuperação de desastres por vários aspectos, entre os quais a maior ênfase no gerenciamento de riscos.

Conforme os controles da NBR 17799, os processos de gestão de segurança de recursos humanos de uma organização envolvem o retorno dos ativos à organização após o encerramento do contrato de trabalho, bem como conscientização, educação e treinamento em segurança da informação, inclusive para terceiros.

A NBR 17799 prescreve explicitamente que as instalações de processamento da informação gerenciadas por uma organização devem estar fisicamente separadas daquelas que são gerenciadas por terceiros. Esse controle está descrito no capítulo 9 da referida NBR, juntamente com outros relacionados a ameaças externas como explosões e perturbações sociais, e controle de acesso com múltiplos fatores de autenticação, como senhas, smart cards e biometria.

A NBR 17799 prescreve vários atributos de classificação da informação, entre os quais se encontram os que indicam graus de sensibilidade e criticidade. O grau de sensibilidade de um ativo de informação está mais associado a aspectos de privacidade que o grau de criticidade, este mais relacionado a aspectos negociais.

São características de uma aplicação de banco de dados aderente ao paradigma de modelagem multidimensional: visões internas que usam uma menor quantidade de operações de junção de tabelas, menor latência durante a execução de consultas que trabalham com valores agregados e esquema em baixos níveis de normalização.