A、信息安全策略是以风险管理为基础，需要做到面面俱到，杜绝风险的存在。

B、信息安全策略是在有限资源的前提下选择最优的风险管理对策。

C、防范不足会造成直接的损失；防范过多又会造成间接的损失。

D、信息安全保障需要从经济、技术、管理的可行性和有效性上做出权衡和取舍。