Segundo a Norma Complementar n. 03/IN01/DSIC/GSIPR, todos os instrumentos normativos gerados a partir da Política de Segurança da Informação e Comunicações (POSIC), incluindo a própria POSIC, devem ser revisados sempre que se fizer necessário, não excedendo o período máximo de:
Segundo a Norma Complementar n. 03/IN01/DSIC/GSIPR, na elaboração da Política de Segurança da Informação e Comunicações, recomenda-se estabelecer diretrizes sobre o tema:
Segundo a Norma Complementar n. 04/IN01/DSIC/ GSIPR, a Gestão de Riscos de Segurança da Informação e Comunicações deverá produzir subsídios para suportar o Sistema de Gestão de Segurança da Informação e Comunicações e o(a):
Segundo a Norma Complementar n. 04/IN01/DSIC/GSIPR, na fase de análise/avaliação dos riscos, deve-se identificar os riscos associados ao escopo definido, considerando: