São etapas da publicação estratégia de serviço do modelo ITIL: definir o mercado, desenvolver as ofertas, desenvolver os ativos estratégicos e preparar para a execução.

Escopo, requisitos para um sistema de gestão, termos, definições e processos de entrega de serviço fazem parte das seções que compõem a estrutura da referida norma.

Fazendo analogia com uma loja real, um firewall seria equivalente ao controle de acesso à loja por intermédio de porteiros, vigias, limites físicos e portas. Da mesma forma, a política de segurança, no firewall, eqüivale ao modelo de conduta do cidadão visitante da loja e de procedimentos por parte dos funcionários para garantir o bom comportamento social dos visitantes e a integridade do patrimônio da loja.

A criptografia de chave privada ou simétrica, tais como data encryption standard(DES), 3DES, RC6 e RSA, visa assegurar o sigilo das informações por meio da utilização de uma chave secreta para a codificação e decodificação dos dados.

O sistema de gestão da segurança da informação, que trata o ciclo PDCA do ISMS (Information security management system) e dos requisitos de documentação, é uma das seções operacionais da referida norma.

O termo assinatura eletrônica refere-se a qualquer mecanismo, não necessariamente criptográfico, para identificar o remetente de uma mensagem eletrônica, tendo, portanto, um significado diferente de assinatura digital.

Além de estar digitalmente assinada por uma autoridade certificadora, um certificado digital pode conter diversas outras informações que determinam o nível de confiabilidade do certificado, tais como política de utilização (limites de transação, especificação de produtos etc.), nome, endereço e empresa solicitante, validade do certificado e outras.

Para maior eficiência e segurança do processo de backup e restauração, deve-se utilizar os recursos de rede para realizar cópias de arquivos, ao invés de utilizar dispositivos locais.

Servidores que atuam como backup de outros equipamentos para o caso de falha, podendo assumir o papel de um equipamento com falha em tempo real, são denominados clusters.

Analisar e avaliar os riscos não faz parte da implementação e operação do sistema de gestão da segurança da informação da norma em questão.