A necessidade de conexão com terceiros deve considerar o tipo de acesso requerido, o valor da informação, os controles empregados por terceiros e as implicações desse acesso à segurança da informação da organização.

O acesso físico e lógico de terceiros aos recursos de processamento da informação da organização devem ser controlados. Um exemplo de acesso lógico é o acesso aos bancos de dados da organização.

É conveniente que, na classificação das informações e seu respectivo controle de proteção, considerem-se as necessidades de compartilhamento ou restrição de informações. Ao se tornar pública, uma informação frequentemente deixa de ser sensível ou crítica.

Uma organização deve ser capaz de inventariar seus ativos, identificar seus respectivos valores e importâncias e indicar um proprietário responsável por eles. A informação deve ser classificada em termos de sua utilidade, adequabilidade e nível de segurança.

Entre os ativos associados a sistemas de informação em uma organização, incluem-se as bases de dados e arquivos, os aplicativos e os equipamentos de comunicação (roteadores, secretárias eletrônicas etc.).

São exemplos de ativos de uma organização a informação e os processos de apoio, sistemas e redes. Os requisitos de segurança, em uma organização, são identificados por meio de análise sistemática dos riscos de segurança.

Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação.

Uma empresa de natureza pública criada especificamente para a prestação de serviços de TI pode ser contratada sem licitação.

Caso a organização decida realizar a licitação do serviço de TI por meio de pregão eletrônico e que no âmbito do serviço seja necessário o desenvolvimento de software específico para a automação do mesmo, não é recomendada, como critério de julgamento da proposta mais vantajosa, a licitação por menor preço.

Se determinado órgão tem, em curso, apenas um contrato de serviço de TI, o qual já seja atendido por uma empresa vencedora de licitação anterior, não é permitido que o vencedor de licitação em curso seja a referida empresa, visto que os serviços de TI contratados por órgão público não podem ser todos prestados por um único fornecedor.