Ameaças como enchentes e terremotos devem ser consideradas na aplicação de controles que visam à proteção contra ameaças externas e do meio ambiente.

No planejamento e aceitação dos sistemas, para minimizar o risco de falhas desses sistemas, é necessário que a utilização dos recursos seja monitorada e sincronizada de modo que suas necessidades requeridas de capacidade futura sejam garantidas, para garantir o desempenho esperado.

Termos e condições de contratação de recursos humanos são abrangidos pela referida norma e, como parte das suas obrigações contratuais, os funcionários devem concordar e assinar os termos e condições de sua contratação para o trabalho.

A retirada ou mudança de direitos de acesso aos funcionários, após o encerramento de suas atividades junto à organização, deve ser suspensa por, no mínimo, noventa dias. Depois de decorrido esse prazo, os direitos e recursos de processamento da informação deverão ser retirados ou ajustados, após a mudança dessas atividades.

No que se refere à segurança em recursos humanos, de acordo com a referida norma, papéis e responsabilidades na segurança da informação, por meio de controles limitados aos funcionários da organização, não podem abranger fornecedores e terceiros.

As responsabilidades específicas pela gestão de segurança das informações devem ser descritas na política de segurança de informações da organização. No entanto, os procedimentos para sistemas de informação específicos não devem compor esse documento, devendo ser restritos aos responsáveis por esses processos.

A política de segurança da informação deve ser apresentada em um único documento, o qual deve ser aprovado pela alta administração e restrito aos dirigentes da organização, pois é um elemento estratégico para a implantação da segurança da informação.

Quanto à gestão dos ativos, somente os ativos da área de TI devem ser inventariados, devendo cada um deles ser claramente identificado e descrito em detalhes, para serem restaurados no caso de incidente de segurança da informação.

As informações e ativos associados com os recursos de processamento da informação devem ficar sob o encargo de pessoa que tenha responsabilidade autorizada para controlar a produção, o desenvolvimento e a segurança dos ativos.

É possível estabelecer acordo com terceiros que abranjam acesso, processamento ou ainda gerenciamento dos recursos de processamento da informação, desde que sejam cobertos todos os requisitos de segurança da informação relevantes ao acordo.