A técnica Delphi é diretamente aplicável para o gerenciamento quantitativo de riscos.

Ao encontrar, em uma área pública de um servidor, o arquivo contendo a lista de logins e senhas criptografadas usadas no controle de acesso a um sistema, o auditor deverá aumentar a classificação de risco de que esse sistema seja invadido por meio de um ataque de dicionário.

Uma das principais funções de um auditor de tecnologia da informação (TI) é avaliar se as configurações dos sistemas computacionais implantadas pelos técnicos de TI da organização estão aderentes aos padrões de segurança estabelecidos pelo mercado.

Políticas de segurança da informação são instrumentos de natureza mais genérica e operacional que normas de segurança da informação.

Durante a implantação de gerenciamento de riscos em organizações, a descoberta das ameaças à segurança de um sistema é decorrência das vulnerabilidades presentes nesse sistema.

Ferramentas de teste de penetração de rede, como nmap, não devem ser usadas durante uma atividade de auditoria, pois o teste de aderência a controles e políticas de segurança em redes está fora do escopo do trabalho do auditor.

Uma das formas usualmente indicadas para o fortalecimento da disponibilidade de um sistema de informações compreende o uso de serviços de autenticação, como o AH (autentication header).

Considere que a organização proprietária da rede A decida utilizar uma estratégia de recuperação de desastres embasada em warm site. Nesse caso, a localização dos dispositivos de backup pertinentes seria mais custo-efetiva na própria rede A, e não, na rede B.

Os dispositivos #1, #2 e #5 desempenham funções de um firewall, possivelmente um firewall de filtragem de pacotes que atua no nível de rede.

As regras de entrada de tráfego mantidas no elemento ACL1 são, possivelmente, mais restritivas que as regras mantidas no elemento ACL2.