Conforme a norma ISO/IEC 27002:2005, os controles considerados essenciais como ponto de partida para a segurança da informação de uma organização, sob o ponto de vista legal, são: a proteção de dados e privacidade de informações pessoais, proteção de registros organizacionais e direitos de propriedade intelectual.