Os laboratórios do INMETRO compõem a infra-estrutura nacional de prestação de serviços tecnológicos do conjunto conhecido como tecnologia industrial básica (TIB), também prestado por outros institutos de pesquisa tecnológica.

O Instituto Nacional de Metrologia, Normalização e Qualidade Industrial (INMETRO) inclui-se no âmbito operacional do SNI e responde pelos serviços de metrologia, normalização e qualidade industrial — verificação de conformidade, avaliação e certificação de produtos.

A auditoria e o fortalecimento da gerência de configuração de sistemas contribuem em maior escala para a redução de riscos em desenvolvimento de software de uma organização de TI que para a redução de riscos na operação de sistemas da organização.

A declaração de aplicabilidade dos controles de segurança de uma organização é usualmente efetuada após a elaboração de um plano de tratamento de riscos.

A técnica Delphi é diretamente aplicável para o gerenciamento quantitativo de riscos.

Ao encontrar, em uma área pública de um servidor, o arquivo contendo a lista de logins e senhas criptografadas usadas no controle de acesso a um sistema, o auditor deverá aumentar a classificação de risco de que esse sistema seja invadido por meio de um ataque de dicionário.

Uma das principais funções de um auditor de tecnologia da informação (TI) é avaliar se as configurações dos sistemas computacionais implantadas pelos técnicos de TI da organização estão aderentes aos padrões de segurança estabelecidos pelo mercado.

Políticas de segurança da informação são instrumentos de natureza mais genérica e operacional que normas de segurança da informação.

Durante a implantação de gerenciamento de riscos em organizações, a descoberta das ameaças à segurança de um sistema é decorrência das vulnerabilidades presentes nesse sistema.

Ferramentas de teste de penetração de rede, como nmap, não devem ser usadas durante uma atividade de auditoria, pois o teste de aderência a controles e políticas de segurança em redes está fora do escopo do trabalho do auditor.