a implementação de controles específicos pode ser delegada pelo proprietário, passando a responsabilidade pela proteção destes ativos a quem assumiu a sua implementação.

os níveis de proteção devem ser iguais para todos os ativos, considerando-se que todos eles são importantes para a organização.

os ativos de informação são restritos aos aplicativos, sistemas, utilitários, serviços de computação e telecomunicações, aplicativos em nuvem e ferramentas de desenvolvimento.

o proprietário do ativo deve ser responsável por definir e, periodicamente, analisar criticamente as classificações e restrições ao acesso aos ativos importantes, levando em conta as políticas de controle de acesso aplicáveis.

é facultativo a fornecedores e terceiros seguir as regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, porém, é obrigatório aos funcionários.