O DES é uma cifragem de bloco que utiliza uma chave de 56 bits para criar uma tabela de chaves. Ao utilizar tal tabela, o DES realiza manipulações de bits sobre o texto simples e, para decriptar o texto cifrado, simplesmente reverte tudo.

O processo de proteção da informação contra modificações não autorizadas ou acidentais, conhecido como processo de irretratabilidade, garante a integridade da informação, mas não necessariamente garante que o seu conteúdo esteja correto.

A confidencialidade tem o objetivo de garantir que apenas pessoas autorizadas tenham acesso à informação. Essa garantia deve ser obtida em todos os níveis, desde a geração da informação, passando pelos meios de transmissão, até chegar ao seu destino e ser devidamente armazenada ou, se necessário, destruída sem possibilidade de recuperação.

Tomar as ações corretivas e preventivas para alcançar a melhoria contínua, com base nos resultados da auditoria interna do SGSI, na revisão gerencial ou em outra informação pertinente, faz parte da fase do planejamento do SGSI.

A técnica de teste estrutural é recomendada para os níveis de testes de unidade e de integração. Para a execução dos testes unitários, essa técnica faz uso da ferramenta livre JUnit.

O teste de aceitação envolve a integração de dois ou mais componentes que implementam funções ou características do sistema. Existem duas fases distintas de teste do sistema: testes de integração e teste de caixa de vidro.

Registros lógicos são subconjuntos de dados dentro de um ALI/AIE que foram reconhecidos pelo usuário. Caso o usuário não reconheça subconjuntos de dados em um ALI/AIE, este deve ser contado como um registro lógico.

O primeiro passo para a contagem das funções de dados consiste em identificar arquivos lógicos internos (ALIs) e arquivos de interface externa (AIEs). Cada uma dessas funções de dados deve ser classificada segundo sua complexidade funcional, que é definida com base em conceitos de registros lógicos e de itens de dados.

A solicitação da gestão de mudança (change request management) trata tanto da captura e gestão das alterações solicitadas, geradas pelos interessados internos e externos, como da análise do impacto potencial da mudança. No entanto, não realiza o acompanhamento do que acontece com a mudança até que ela seja concluída, tarefa de responsabilidade do CM.

O gerenciamento de configuração (configuration management – CM) trata da identificação do artefato, das versões e das dependências entre artefatos, bem como da identificação de configurações que são conjuntos coerentes de artefatos relacionados.