Разработанные требования к товару оформляются в виде технического задания, технических условий или профиля защиты. В таком документе кроме функциональных (прикладных характеристик) продукции (товара, системы), также приводятся требования безопасности продукции (требования к функциям безопасности и требования доверия).

Разработка требований к процессу обычно проводится в отношении процесса менеджмента информационной безопасности в соответствии с требованиями ISO 27001 (или его российского аналога ГОСТ Р ИСО/МЭК 27001). Кроме того, требования оформляются к процессам реализации мер защиты информации, таким как менеджмент уязвимостей, менеджмент обновлений, менеджмент конфигураций, выявление инцидентов и реагирование на них, а также к иным бизнес-процессам (например, требования безопасности определяются для процессов управления поставщиками, процесса обработки персональных данных, процесса разработки продукции, содержащей интеллектуальную собственность).

Разработанные требования к услугам различного рода (например, хостинга информационных систем в центре обработки данных или в облаке) оформляются в виде технического задания. В таком документе кроме прикладных требований (например, требований к объёму предоставляемого пространства в хранилищах данных), также приводятся требования безопасности оказания услуги (требования к реализуемым мерам защиты информации, требования к оценке соответствия и множество других требований).