Na gestão de ativos, não é necessário seguir regras documentadas que definem qual tipo de uso é permitido fazer com o ativo.

As atividades de implantação da segurança da informação em uma empresa são coordenadas por terceiros ao invés de representantes da empresa.

Antes de contratar um funcionário ou fornecedor é importante analisá-los, principalmente se forem lidar com informações de caráter sigiloso, com a intenção de mitigar o risco de roubo, fraude ou mau uso dos recursos.

Não se deve criar um documento sobre a política de segurança da informação para empresa, contendo os conceitos de segurança da informação, uma estrutura para estabelecer os objetivos e as formas de controle, o comprometimento da direção com a política, dentre outros fatores.