No estabelecimento do SGSI, deve-se definir seu escopo e seus limites, junto com uma política específica, a qual deve estar alinhada às metas de negócio.

A formulação de um plano de tratamento de riscos é uma das atividades que ocorre após a implementação e operação de um SGSI.

O controle dos registros referentes ao SGSI restringe-se aos aspectos referentes aos eventos de natureza técnica.

A rastreabilidade de decisões, remetendo a políticas e decisões da direção superior, é um dos requisitos de um SGSI.

O SGSI adota o modelo PDCA (plan-do-check-act), que estrutura todos os processos, visando proporcionar melhoria contínua.

Os usuários devem ser conscientizados e educados no que diz respeito à segurança da informação, uma vez que recai sobre eles a responsabilização pelos eventos em que venham a se envolver, como quebras de segurança e erros de operação.

O código fonte de programas é um bem informacional que requer proteção adequada, podendo até conter segredos de negócio; assim, seu acesso deve ser restrito e sujeito a controles de acesso.

Os controles relativos a movimentação de equipamentos, informações ou software são similares aos controles patrimoniais relativos a outros bens; assim, esses itens só devem ser removidos com autorização prévia e devido registro.

As responsabilidades pela segurança da informação devem estar claramente definidas, oferecendo-se, como contrapartida, aos responsáveis os poderes necessários para implementação e operação dos controles, de forma a viabilizar o atendimento aos requisitos de segurança específicos.

A política de GCN define os processos relativos às atividades de preparação para estabelecer a capacidade de continuidade de negócios e o gerenciamento contínuo dessa capacidade.