วิธีการคือบิลด์เป้าหมายที่แสดงถึงแนวทางปฏิบัติ กระบวนการ และกฎเกณฑ์เฉพาะสำหรับการบรรลุผลสำเร็จหรือการดำเนินการของงานหรือหน้าที่เฉพาะ มีวิธีการต่างๆ ในการรักษาความปลอดภัยของระบบข้อมูลดังนี้ -
วิธีการประเมิน INFOSEC (IAM) − วัตถุประสงค์คือเพื่อให้วิธีการที่สามารถใช้เป็นการควบคุมที่สอดคล้องกันสำหรับการตรวจสอบตำแหน่งของ INFOSEC ของระบบข้อมูลอัตโนมัติ IAM มุ่งเน้นที่การประเมินระดับสูงของระบบปฏิบัติการที่ระบุเพื่อเหตุผลในการระบุช่องโหว่ที่อาจเกิดขึ้น
IAM แบ่งออกเป็นสามขั้นตอน เช่น การประเมินล่วงหน้า กิจกรรมในสถานที่ และหลังการประเมิน ระยะก่อนการประเมินถูกเสนอเพื่อสร้างการรับรู้ทั่วไปเกี่ยวกับความต้องการของผู้ใช้ กำหนดระบบเป้าหมาย และกำหนดกฎเกณฑ์การมีส่วนร่วมสำหรับการประเมิน การประเมินล่วงหน้าทำได้ด้วยแผนการวัดผลเป็นลายลักษณ์อักษร
ส่วนกิจกรรมในสถานที่แสดงแรงผลักดันพื้นฐานของ IAM โดยจะสร้างผลกระทบของระยะก่อนการประเมิน ตรวจสอบผลกระทบเหล่านั้น และดำเนินการประกอบข้อมูลและการตรวจสอบเพิ่มเติม
วิธีการประเมินผล INFOSEC (IEM) − วัตถุประสงค์คือเพื่อให้เทคนิคสำหรับการประเมินความอ่อนไหวทางเทคนิคในระบบ และเพื่อให้ถูกต้องตามกฎหมายการออกแบบ INFOSEC ที่แท้จริงของระบบเหล่านั้น IEM เป็นวิธีการคุ้มกันไปยัง IAM ซึ่งเหมาะสมกับกรอบงาน IA-CMM ทั้งหมด แต่กำหนดเป้าหมายระดับ 2 ของ "Vulnerability Discovery Triad"
ความแตกต่างระหว่าง IAM และ IEM คือ IEM ใช้การประเมินเชิงปฏิบัติจริงของระบบเพื่อตรวจสอบความถูกต้องของการมีอยู่จริงของช่องโหว่ เทียบกับผลลัพธ์ของ IAM ของเอกสารช่องโหว่ที่น่าจะเป็นไปได้ในระบบเหล่านั้น
IEM แบ่งออกเป็นสามขั้นตอน เช่น การประเมินล่วงหน้า ในสถานที่จริง และการประเมินภายหลัง ขั้นตอนก่อนการประเมินเริ่มต้นด้วยการนำเอกสาร IAM Pre-Assessment เป็นข้อมูลป้อนเข้า จากนั้นจึงประสานระเบียบข้อบังคับในการดำเนินการเพื่อดำเนินการประเมินทางเทคนิคของระบบภายใต้เป้าหมาย ระยะนี้จะหายไปพร้อมกับแผนการประเมินทางเทคนิค
ขั้นตอน On-Site ของ IEM จะแสดงขนาดของงานด้านเทคนิคที่ลงมือปฏิบัติ การนำการค้นพบ การสแกน และการประเมินไปใช้งานที่หลากหลาย ผลการวิจัยทั้งหมดได้รับการตรวจสอบทางกายภาพเพื่อให้เกิดประสิทธิภาพ
สุดท้าย ขั้นตอนหลังการประเมินบรรลุวิธีการในลักษณะเดียวกับ IAM โดยการดึงข้อมูลทั้งหมดที่ผลิต ลงในเอกสารขั้นสุดท้ายที่มีรายละเอียดการค้นพบ คำแนะนำ และแผนงานด้านความปลอดภัย
ระบบบังคับใช้นโยบายเหตุการณ์ด้านความปลอดภัย (SIPES) − วัตถุประสงค์คือเพื่อจัดเตรียมวิธีการสำหรับการกำหนดและดำเนินการระบบบังคับใช้นโยบายเหตุการณ์ด้านความปลอดภัย วิธีการนี้จัดทำขึ้นเพื่อความสมบูรณ์
ร่างระบบบังคับใช้นโยบายเหตุการณ์ด้านความปลอดภัย (SIPES) แสดงวิธีการที่ค่อนข้างเป็นนามธรรมในการจัดการกับความซับซ้อนของการจัดการการตอบสนองต่อเหตุการณ์ บทความนี้เริ่มต้นด้วยการไม่ขัดแย้งกับคำจำกัดความของระบบไอทีภายในที่ล้มเหลว จากนั้นจึงดำเนินการสร้างวิธีการ "statefull"