De acordo com especialistas da área, não existe uma política de segurança da informação pronta e(ou) certa ou errada, do que se depreende que cada empresa deve criar a própria política de segurança, conforme suas necessidades e cultura organizacional.

Para um SGSI, a organização deve analisar criticamente as avaliações de riscos em intervalos planejados, os riscos residuais e os níveis de riscos aceitáveis identificados, levando em consideração, entre outros itens, as mudanças relativas a eventos externos.

São consideradas entradas para o processo de análise/avaliação de riscos de segurança da informação os critérios básicos, o escopo, os limites e a organização do processo de gestão de riscos de segurança da informação.

A eliminação de resíduos físicos é um dos itens tratados pela gestão da continuidade dos negócios na referida norma.

A contratação de grande quantidade de novos empregados para a empresa é um incidente grave para a segurança da informação, que deve ser comunicado ao setor competente e tratado rapidamente.

Na área de segurança da informação, vulnerabilidade representa causa potencial de um incidente indesejado.

Na gestão de ativos, é conveniente que todos os ativos sejam inventariados e tenham proprietário responsável.

Não é possível controlar totalmente nem eliminar as ameaças de segurança da informação em uma organização, pois elas são frequentes e muitas vezes imprevisíveis.

Na atualidade, os ativos físicos de uma organização são mais importantes para ela do que os ativos de informação.

A política de segurança da informação integra o SGSI e a diretriz para a implementação dessa política é detalhada na referida norma.