Um exemplo de aceitação de risco consiste na contratação de seguro para cobrir eventuais perdas ou danos.

A avaliação de riscos, por ser base para a tomada de decisões referentes à retenção de risco, é uma atividade-chave.

Os requisitos de controle, apesar de específicos e detalhados, são aplicáveis à ampla maioria das organizações, independentemente de tipo, tamanho e natureza.

Os riscos residuais propostos em um plano de tratamento de risco devem ser aprovados pelo corpo técnico e pelos usuários do sistema de gestão de segurança da informação.

O plano de tratamento de riscos, ao compreender o processo de implementação dos controles selecionados, garante o atendimento dos objetivos de controle identificados e inclui considerações de atribuição de papéis e responsabilidades.

A implementação e a operação do sistema de gestão de segurança da informação requerem a formulação e a implementação de um plano de tratamento de riscos que identiWque os recursos, a ação de gestão, as responsabilidades e as prioridades apropriados para a gestão dos riscos de segurança.

A declaração de aplicabilidade consiste na descrição dos controles pertinentes e aplicáveis ao sistema de gestão de segurança da informação bem como dos objetivos que esses controles pretendem atingir.

O objetivo principal do CMMI é prover as organizações de diretrizes fundamentadas em melhores práticas e contribuir, assim, para a melhoria dos processos e habilidades organizacionais, cobrindo o ciclo de vida de produtos e serviços completos, nas fases de concepção, desenvolvimento, aquisição, entrega e manutenção.

Um dos componentes da estrutura do CMMI consiste no conjunto das práticas específicas, as quais correspondem à descrição das atividades consideradas importantes para o atendimento de metas específicas.

Os critérios de informação do COBIT para atender os objetivos de negócios são: efetividade, eficiência, eficácia, confidencialidade, integridade, conformidade e confiabilidade.