A norma ABNT NBR ISO/IEC 27004:2010 recomenda que se estabeleça e gerencie um Programa de Medição de Segurança da Informação − PMSI a fim de alcançar os objetivos de medição estabelecidos e adotar o modelo PDCA nas atividades de medição globais da organização. A Norma recomenda que o PMSI inclua os processos de
Definição da Estratégia de medição, Projeto da medição, Operação da Medição e Melhoria Contínua do PMSI.
Desenvolvimento de medidas e medição, Operação da medição, Relato dos resultados da análise de dados e da medição e Avaliação e melhoria do PMSI.
Planejamento da medição, Execução da medição, Avaliação do PMSI e Ajuste no PMSI
Definição do escopo da medição, Levantamento de requisitos de medição, Execução da medição e Análise dos resultados da medição.
Planejamento da medição, Operação da medição, Verificação da Medição e Relato dos resultados para a alta gestão.