Os controles representam as boas práticas de segurança aplicáveis a grande parte das organizações. Segundo a NBR ISO/IEC 27002:2005, controles são políticas, práticas, procedimentos, estruturas organizacionais e configurações de software. Incluem-se ainda os dispositivos de hardware voltados à segurança. Eles visam reduzir ou eliminar vulnerabilidades, inibir a ação de ameaças ou ainda minimizar os impactos causados por incidentes.
Um questionário é um formulário de resposta de um knowledge base, que foi associado a um componente de ativo. Ele pode ser preenchido através de respostas manuais dadas pelo analista, automaticamente através de respostas dadas em entrevistas por entrevistados ou revisores ou automaticamente por meio de coletas automáticas. Um questionário é composto por uma série de controles e as respectivas funções para responder se cada controle foi implementado ou não.
Existem três situações possíveis para um questionário:
•Não aberto: o questionário nunca foi aberto.
•Aberto: o questionário foi aberto pelo analista, mas os controles não necessariamente foram respondidos.
•Fechado: o questionário foi respondido e fechado pelo analista.
Os questionários podem ser respondidos on-line, através do sistema, ou off-line, através de um dispositivo móvel ou de uma planilha Excel. Para mais detalhes sobre como responder a um questionário através de um dispositivo móvel, veja Aplicativos móveis.