A norma ISO 9001:2000 foi concebida para ser usada, por meio de contrato entre cliente e fornecedor, para aprovação ou registro do sistema de qualidade do fornecedor pelo cliente e para certificação ou registro do sistema de qualidade do fornecedor por um órgão certificador acreditado ou como orientação para gestão da qualidade.

As métricas de resultado definem quão bem o negócio, funções ou processos de TI estão tomando possíveis as metas, enquanto os indicadores de desempenho indicam se uma função, processo ou atividade de TI atingiu suas metas.

Segundo o COBIT, o processo de gerenciamento de problemas busca assegurar a satisfação de clientes por meio da oferta adequada de um conjunto de serviços e níveis de serviço, da redução de defeitos e do retrabalho, e pode-se verificar na aplicação de técnicas diversas como, por exemplo, a análise da causa raiz e análise de tendências.

Usuários são contratantes dos serviços e responsáveis pelas definições de SLA junto ao provedor de serviços, enquanto clientes são as pessoas que usam os serviços contratados, sendo que, em alguns casos, as funções de usuários e clientes podem estar superpostas.

O balanced scorecard enfoca as organizações sob as seguintes perspectivas: financeira, do cliente e dos processo internos. Entretanto, não inter-relaciona causa e efeito entre objetivos e indicadores.

As metas e métricas do COBIT são definidas em quatro níveis, relativas a TI, a maturidade, a processos ou a atividades. As metas são definidas de baixo para cima (bottom-up), de maneira que uma meta de negócio determinará várias metas de TI para suportá-la. Uma meta de TI é atingida por um processo ou uma interação de processos.

Uma vez que pode ser realizado de forma matricial e distribuído na organização hierárquica, o escritório de serviço (.service desk) é um processo que recebe os incidentes, tais como falhas ou outras violações de acordos de nível operacional. Seu objetivo é prover um ponto único de contato com os clientes, facilitar o restabelecimento dos serviços e reduzir a probabilidade de geração de impacto sobre os negócios e dentro de acordos de níveis de serviço e prioridades de negócios.

A segregação de funções objetiva reduzir o risco de mau uso ou de uso doloso dos sistemas e proteger as informações em caso de catástrofes naturais.

A política de segurança da informação deve ser específica, detalhando ameaças, máquinas, topologias e sistemas de proteção utilizados.

A elaboração do plano de continuidade de negócios abrange as fases de planejamento estratégico de continuidade; de avaliação e análise de riscos; de elaboração de planos de contingência; de testes e validação dos planos propostos; e de definição de procedimentos de recuperação e retomo.