Em JCL, cada processo é associado a uma conta na qual o custo da execução será debitado. Na proposição JOB, tal conta é explicitada. Este parâmetro é posicional e deve ser codificado na ordem prescrita no manual JCL.

O escopo de implantação de um SGSI abrange toda a organização, isto é, nenhuma atividade ou processo pode ficar de fora.

Um dos controles para verificação da conformidade técnica é a garantia, pelos gestores, de que todos os procedimentos de segurança dentro da sua área de responsabilidade sejam executados corretamente.

Uma estrutura básica dos planos de continuidade do negócio deve ser mantida para assegurar que todos os planos sejam consistentes, para contemplar os requisitos de segurança da informação e para identificar prioridades para testes e manutenção.

Os sistemas de informação não necessitam ser periodicamente verificados em sua conformidade com as normas de segurança implementadas, pois a homologação do sistema, por si só, assegura tal conformidade.

A segregação é um método utilizado para reduzir o risco de uso indevido acidental ou deliberado dos sistemas. Devem ser tomados cuidados para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou detecção.

Os acordos de terceirização (outsourcing) devem tratar dos riscos, controle de segurança e procedimentos para sistemas de informação, ambientes de rede e(ou) desktop no contrato entre as partes.

Avaliação de risco é o processo de identificar, controlar e minimizar ou eliminar os riscos de segurança que podem afetar sistemas de informação, a um custo aceitável.

Gestão de riscos é o processo de avaliação das ameaças às informações e às facilidades de processamento de informações, dos impactos nas informações e nas facilidades, das vulnerabilidades das informações e facilidades, e da probabilidade de ocorrência de riscos.

O estabelecimento de requisitos de segurança só pode ocorrer se realizado por meio da avaliação de riscos contra a organização.