Os elementos do modelo acima são compatíveis com a gestão de serviços de TI definida no modelo ITIL, e relacionadas ao contato com clientes de serviços de TI.

São exemplos de atividades de processamento que precisam ser estritamente controladas para todos os ativos de informação: a cópia; o armazenamento; a transmissão por qualquer meio; e a destruição.

O grau de classificação atribuído a um ativo de informação é imutável ao longo do tempo.

Todos os ativos de informação de uma organização devem ser sujeitos ao mesmo sistema de controle, independentemente da classificação na qual são enquadrados.

Conforme a norma ISO-17799, são considerados ativos de informação: bases de dados e sistemas de arquivos; manuais, documentação e material de treinamento; computadores; equipamentos de telecomunicação, como telefones e PABX; equipamentos de suporte, como ar-condicionado, aquecedores etc.

Um modelo de segurança embasado no uso de regras de controle de acesso em múltiplos níveis está mais apropriadamente tratando do aspecto de disponibilidade que do aspecto de confidencialidade.

Um modelo de segurança da informação fundamentado no conceito de transações atômicas está mais apropriadamente tratando do aspecto de confidencialidade que do aspecto de integridade.

São exemplos de metas de segurança de natureza complementar: confidencialidade, integridade e disponibilidade.

Fontes de vulnerabilidades publicamente disponíveis sobre plataformas de software também atuam como fonte de informação para hackers interessados em explorar sistemas existentes como esquematizado na figura.

Bases de dados mundialmente disponíveis, como a Commom Vulnerabilities and Exposures, permitem o registro de vulnerabilidades conhecidas ou propostas, mas apenas para aplicações e sistemas de código aberto, como o Linux e o Open Office.