O processo do Sistema de Gestão de Segurança da Informação (SGSI), estabelecido pela norma NBR ISO/IEC 27001:2006, se baseia no modelo PDCA (plan do check act).

De acordo com a referida norma, os riscos são aceitáveis, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos.

A norma em tela prevê que o SGSI inclua uma estrutura para definir objetivos e estabeleça direcionamento global para ações relativas à segurança da informação.

A norma NBR citada acima prevê onze seções sobre o tratamento de riscos de segurança da informação.

De acordo com a referida norma, todos os itens de controle, seções e etapas são aplicáveis apenas a organizações de grande envergadura.

A estrutura da ICP-Brasil não prevê o uso de autoridades de registro e utiliza autoridades certificadoras assinadas pela chave pública da própria ICP-Brasil.

O comitê gestor da ICP-Brasil verifica se as autoridades certificadoras atuam em conformidade com as diretrizes e as normas técnicas estabelecidas.

A emissão da lista de certificados revogados (LCR) é responsabilidade da AC-Raiz da ICP-Brasil.

O algoritmo AES, que é simétrico, opera com cifra de blocos de tamanho fixo e chaves com tamanhos variados de 128, 192 ou 256 bits.

O algoritmo RSA define que, para cada iteração de passagem da cifra de bloco, a chave do bloco seja dependente do bloco anterior. Esse algoritmo também define que a chave seja de 56 bits.