O SGSI adota o modelo PDCA (plan-do-check-act), que estrutura todos os processos, visando proporcionar melhoria contínua.

Um IDS (intrusion detection system) é capaz de procurar e detectar padrões de ataques em pacotes trafegados em uma rede local por meio de assinaturas de ataques conhecidos.

Em uma VPN do tipo site-to-site, a criptografia assimétrica envolve uma chave única para o processo de cifrar e decifrar os dados da conexão.

Os usuários devem ser conscientizados e educados no que diz respeito à segurança da informação, uma vez que recai sobre eles a responsabilização pelos eventos em que venham a se envolver, como quebras de segurança e erros de operação.

A rastreabilidade de decisões, remetendo a políticas e decisões da direção superior, é um dos requisitos de um SGSI.

Em decorrência da disponibilização de serviços e aplicações sediados em máquinas virtuais (MVs), que proporciona contenção e rápida recuperação em caso de ataques, uma mesma vulnerabilidade pode estar presente em várias instâncias de um mesmo snapshot de uma MV que originalmente apresente tal vulnerabilidade.

Um sistema com o SFU em funcionamento suporta as funcionalidades de pipes e links simbólicos.

Os protocolos TCP/IP foram projetado especialmente para serem utilizados na Internet, particularmente pelos recursos que oferecem.
Nesse sentido, uma característica da arquitetura TCP/IP, é:

Um ataque de SQL injection explora vulnerabilidades presentes em aplicações web, podendo ser evitado com inspeção criteriosa dos dados de entrada.

No Apache, como o suporte ao SSL é nativo nas versões 1.3.x, o uso do  mod_sal  se restringe às versões 2.2.x e posteriores. Além disso, a configuração para gestão de certificados autoassinados requer geração randômica de números primos, o que, no caso do Apache, em sistemas Unix, é feito por meio do  /dev/random.

No Windows 2003 Server, por padrão, a conta de convidado é habilitada.

A GCN não tem relação com o gerenciamento de riscos.

Fazer o controle do acesso físico e lógico às impressoras em uma rede é uma medida de segurança recomendada.

Em um ambiente bancário, integridade e auditabilidade tem prioridade sobre a confidencialidade.

A Norma Complementar GSI/PR n. º 3 estabelece as diretrizes para a elaboração de políticas de segurança da informação e comunicações nos órgãos e entidades da administração pública federal.

O código fonte de programas é um bem informacional que requer proteção adequada, podendo até conter segredos de negócio; assim, seu acesso deve ser restrito e sujeito a controles de acesso.

O controle dos registros referentes ao SGSI restringe-se aos aspectos referentes aos eventos de natureza técnica.

Para se configurar permissão em arquivos ou diretórios, como ponto de partida, uma opção é utilizar o aplicativo Windows Explorer para se configurar direitos de escrita ou leitura.

A política de GCN define os processos relativos às atividades de preparação para estabelecer a capacidade de continuidade de negócios e o gerenciamento contínuo dessa capacidade.

Na documentação relativa à GCN, devem estar incluídos, entre outros, documentos relativos à política de GCN, à análise de impacto nos negócios e à avaliação de riscos e ameaças.