O controle dos registros referentes ao SGSI restringe-se aos aspectos referentes aos eventos de natureza técnica.

A rastreabilidade de decisões, remetendo a políticas e decisões da direção superior, é um dos requisitos de um SGSI.

O SGSI adota o modelo PDCA (plan-do-check-act), que estrutura todos os processos, visando proporcionar melhoria contínua.

Os usuários devem ser conscientizados e educados no que diz respeito à segurança da informação, uma vez que recai sobre eles a responsabilização pelos eventos em que venham a se envolver, como quebras de segurança e erros de operação.

O código fonte de programas é um bem informacional que requer proteção adequada, podendo até conter segredos de negócio; assim, seu acesso deve ser restrito e sujeito a controles de acesso.

Os controles relativos a movimentação de equipamentos, informações ou software são similares aos controles patrimoniais relativos a outros bens; assim, esses itens só devem ser removidos com autorização prévia e devido registro.

As responsabilidades pela segurança da informação devem estar claramente definidas, oferecendo-se, como contrapartida, aos responsáveis os poderes necessários para implementação e operação dos controles, de forma a viabilizar o atendimento aos requisitos de segurança específicos.

A política de GCN define os processos relativos às atividades de preparação para estabelecer a capacidade de continuidade de negócios e o gerenciamento contínuo dessa capacidade.

Admite-se que o tempo planejado para a recuperação da normalidade de funcionamento do negócio seja maior que o tempo máximo de interrupção desse funcionamento.

Na documentação relativa à GCN, devem estar incluídos, entre outros, documentos relativos à política de GCN, à análise de impacto nos negócios e à avaliação de riscos e ameaças.