A、企业应该在组织内建立发起和控制信息安全实施的管理框架。

B、企业应该维护被外部合作伙伴或者客户访问和使用的企业信息处理设施和信息资产的安全。

C、在没有采取必要控制措施，包括签署相关协议之前，不应该授权给外部伙伴访问。应该让外部伙伴意识到其责任和必须遵守的规定。

D、企业在开展业务活动的过程中，应该完全相信员工，不应该对内部员工采取安全管控措施