No nível 3 de maturidade do modelo CMMI, o processo é planejado e executado de acordo com políticas organizacionais, devendo-se utilizar pessoal habilitado e recursos adequados para gerar saídas de forma controlada e envolver os grupos interessados adequados.

As práticas recomendadas no COBIT focam mais a execução do que o controle dos processos de gestão de TI.

A implantação do COBIT como modelo de governança de TI de uma empresa ou organização propicia, como um dos seus benefícios, o cumprimento dos requisitos do COSO (Committee of Sponsoring Organizations of the Treadway Commission) para controle de ambientes de TI.

A publicação do ITIL intitulada Operação de Serviço orienta, por meio de princípios, práticas e métodos de gerenciamento da qualidade, a respeito de como fazer sistematicamente melhorias incrementais e de larga escala na qualidade dos serviços.

O ITIL propõe uma abordagem de ciclo de vida que permite que se tenha uma visão do gerenciamento de serviços pela perspectiva do próprio serviço, em vez de se focar em cada processo ou prática por vez.

Na governança de TI, gerenciar mudanças, identificar soluções automatizadas e gerenciar investimentos são processos do domínio adquirir e implementar.

Metas específicas são metas compartilhadas por múltiplas áreas de processo, que, quando atingidas dentro de uma área de processo específica, indicam se estão sendo planejadas e implementadas de forma efetiva, replicável e controlada.

Uma das características do nível 4 de maturidade do modelo CMMI diz respeito à importância e à explicitação da análise e da eliminação das causas dos problemas ocorridos no desenvolvimento e manutenção de software.

Na prática, os padrões 27001 e 27002 normalmente são usados em conjunto, embora seja possível o uso de outros controles de segurança da informação juntamente com o padrão 27001, até mesmo em substituição ao padrão 27002.

A organização deve fazer análises críticas com o objetivo de identificar tentativas e violações de segurança bem-sucedidas, sendo esta uma atividade verificada na fase check (checar).