A.在組織中，應由信息技術(shù)責任部門（如信息中心）制定并頒布信息安全方針，為組織的ISMS建設指明方向并提供總體綱領(lǐng)，明確總體要求。
B.組織的管理層應確保ISMS目標和相應的計劃得以制定，信息安全管理目標應明確，可度量，風險管理計劃應具體，具備可行性
C.組織的信息安全目標，信息安全方針和要求應傳達到全組織范圍內(nèi)，應包括全體員工，同時，也應傳達到客戶，合作伙伴和供應商等外部各方
D.組織的管理層應全面了解組織所面臨的信息安全風險，決定風險可接受級別和風險可接受準則，并確認接受相關(guān)殘余風險

A.對用戶知識要求高，配置，操作和管理使用過于簡單，容易遭到攻擊
B.高虛警率，入侵檢測系統(tǒng)會產(chǎn)生大量的警告消息和可疑的入侵行為記錄，用戶處理負擔很重
C.入侵檢測系統(tǒng)在應對自身攻擊時，對其他數(shù)據(jù)的檢測可能會被抑制或者受到影響
D.警告消息記錄如果不完整，可能無法與入侵行為關(guān)聯(lián)