A NBR 17799 prescreve o uso de gerenciamento quantitativo de riscos.

Em órgãos públicos, com o objetivo de melhor proteger códigos de criptografia utilizados, o auditor deve verificar se é priorizada a aquisição de criptografia de fornecedores estrangeiros certificados, caso contrário, ele deve recomendar que essa determinação seja observada.

Para assegurar a implantação dos controles necessários, a auditoria deve ser realizada de forma sistemática e permanente na área até que as ações determinadas pela auditoria sejam implementadas.

Ao final do trabalho de auditoria, o auditor de TI deve elaborar relatório consignando sua opinião acerca dos controles avaliados, dos riscos aos quais a área de TI se sujeita, das evidências dos problemas que foram solucionados pela auditoria, das razões que os originaram e dos controles que foram implementados pela auditoria para reduzir o risco da área auditada.

se são observadas, para cada recurso ou arquivo existentes em um sistema, as diretrizes que especificam o que cada usuário pode fazer, diretrizes estas que devem dar privilégio de acesso a dados aos servidores que trabalham na área de TI.

se foi definido o nível necessário de cópias de segurança das informações e, em situações em que a confidencialidade seja importante, se as cópias de segurança foram protegidas por meio de encriptação, armazenadas sem vírus, em mídia confiável, em lugar climatizado e restrito.

a existência de plano de continuidade de negócios testado e eficaz, considerando-se as características dinâmicas dos ambientes, em relação aos requisitos de disponibilidade, capacidade e desempenho.

a existência de firewall, recurso de TI capaz de dividir e controlar o acesso entre redes de computadores, bloquear tentativas de invasão e impedir o acesso de backdoors.

se a manutenção dos sistemas e de seus aplicativos, assim como de toda a estrutura de TI, ocorre com periodicidade adequada, se são considerados os registros de ocorrências para respaldarem esse processo, e quais problemas são identificados e corrigidos.

se, na ocorrência de problemas com tecnologia de informação (TI), há tempestividade na identificação desses problemas, rapidez na adoção de providências, efetividade nessa ação e registro de todo o processo.