A retirada ou mudança de direitos de acesso aos funcionários, após o encerramento de suas atividades junto à organização, deve ser suspensa por, no mínimo, noventa dias. Depois de decorrido esse prazo, os direitos e recursos de processamento da informação deverão ser retirados ou ajustados, após a mudança dessas atividades.

No que se refere à segurança em recursos humanos, de acordo com a referida norma, papéis e responsabilidades na segurança da informação, por meio de controles limitados aos funcionários da organização, não podem abranger fornecedores e terceiros.

As responsabilidades específicas pela gestão de segurança das informações devem ser descritas na política de segurança de informações da organização. No entanto, os procedimentos para sistemas de informação específicos não devem compor esse documento, devendo ser restritos aos responsáveis por esses processos.

A política de segurança da informação deve ser apresentada em um único documento, o qual deve ser aprovado pela alta administração e restrito aos dirigentes da organização, pois é um elemento estratégico para a implantação da segurança da informação.

Quanto à gestão dos ativos, somente os ativos da área de TI devem ser inventariados, devendo cada um deles ser claramente identificado e descrito em detalhes, para serem restaurados no caso de incidente de segurança da informação.

As informações e ativos associados com os recursos de processamento da informação devem ficar sob o encargo de pessoa que tenha responsabilidade autorizada para controlar a produção, o desenvolvimento e a segurança dos ativos.

É possível estabelecer acordo com terceiros que abranjam acesso, processamento ou ainda gerenciamento dos recursos de processamento da informação, desde que sejam cobertos todos os requisitos de segurança da informação relevantes ao acordo.

Com vistas a ampliar o conhecimento sobre as melhores práticas relativas à segurança da informação, devem ser mantidos contatos apropriados com autoridades relevantes, como as do corpo de bombeiros, assim como as de grupos de interesses especiais ou outros fóruns especializados de segurança da informação.

A coordenação e as atividades de segurança da informação devem ser centralizadas por gestores da área técnica de TI e por auditores internos limitados aos papéis relevantes dessas duas áreas.

O núcleo das redes 4G é implementado totalmente em IP, ou seja, tanto o tráfego de voz quanto o tráfego de dados é transportado via comutação de datagramas IP.