No contexto das atividades de negócio globais da organização, a norma em questão indica o uso do modelo de gestão Cobit para se estabelecer, operar, monitorar, analisar criticamente, manter e melhorar o SGSI.

No que se refere à gestão de incidentes de redes, a referida norma estabelece que um comitê gestor de segurança da informação é responsável pelos procedimentos de configuração dos perímetros de rede protegidos por firewalls.

Segundo a norma em apreço, a organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e dos riscos que ela enfrenta.

Para um sistema de gestão de segurança, essa norma indica que qualquer controle que venha a ser adotado deve ser avaliado primeiramente por um modelo de maturidade relacionado ao que preconiza o modelo CMMI.

Segundo a norma em tela, a segurança da informação é atribuição dos administradores de rede e dos gestores de tecnologia, os quais são responsáveis pelo modelo de segurança da empresa, de acordo com o que preconiza o modelo PDCA.