В ISO/IEC 27002 дається детальна інформація щодо вибору засобів контролю. Існує багато обмежень, які можуть впливати на вибір засобів контролю. Технічні обмеження, такі як вимоги до функціонування, питання керованості (вимоги операційної підтримки) і сумісності можуть перешкоджати використанню певних засобів контролю або можуть вводити помилку персоналу, або анулювати засіб контролю, вселяючи помилкове відчуття безпеки, або навіть збільшувати ризик, по відношенню до того, якби не було ніякого засобу контролю (наприклад, вимоги використання складних паролів без відповідного навчання, що може привести до запису паролів користувачами). Більш того, може статися так, що засоби контролю будуть впливати на продуктивність. Менеджери повинні працювати над ідентифікацією рішення, яке задовольняє вимогам продуктивності, в той же час гарантує достатню інформаційну безпеку.