Um die Unternehmensziele zu erreichen, müssen die Informationen bestimmten Kriterien entsprechen, welche in COBIT als unternehmensspezifische Erfordernisse an Informationen bezeichnet werden. Auf den breiteren qualitativen und treuhänderischen Sicherheitserfordernissen wurden sieben einzelne, teilweise überlappende Informationskriterien wie folgt definiert:

• Effectiveness (Wirksamkeit) behandelt die Relevanz und Angemessenheit von Informationen für den Geschäftsprozess sowie die angemessene Bereitstellung hinsichtlich Zeit, Richtigkeit, Konsistenz und Verwendbarkeit.
• Efficiency (Wirtschaftlichkeit) behandelt die Bereitstellung von Information durch die optimale (produktivste und wirtschaftlichste) Verwendung von Ressourcen.
• Confidentiality (Vertraulichkeit) behandelt den Schutz von sensitiven Informationen gegen unberechtigte Offenlegung.
• Integrity (Integrität) bezieht sich auf die Richtigkeit und Vollständigkeit von Informationen sowie deren Gültigkeit in Übereinstimmung mit Unternehmenswerten und Erwartungen.
• Availability (Verfügbarkeit) bezieht sich darauf, dass Informationen derzeit und in Zukunft für den Geschäftsprozess verfügbar sind. Sie betrifft auch den Schutz notwendiger Ressourcen und deren Leistungen.
• Compliance (Compliance) behandelt die Einhaltung von Gesetzen, Regulativen und vertraglichen Vereinbarungen, welche der Geschäftsprozess berücksichtigen muss, wie beispielsweise extern auferlegte Kriterien oder interne Richtlinien.
• Reliability (Verlässlichkeit) bezieht sich auf die Angemessenheit bereitgestellter Informationen, die vom Management verwendet werden, um die Gesellschaft zu leiten und seine Treue- und Governance Pflichten ausüben zu können.

Während die Informationskriterien eine generische Methode zur Definition des Informationsbedarfs darstellen, liefern die in COBIT definierten generischen Unternehmens- und IT Ziele eine spezifischere Basis, um die Unternehmensanforderungen festzulegen und um Metriken zu entwickeln, die die Messung deren Erreichung erlauben. Jedes Unternehmen setzt Informationstechnologie ein, um Vorhaben des Geschäfts zu unterstützen; diese können als Unternehmensziele für die IT angesehen werden. 

Wenn IT erfolgreich Services zur Unterstützung der Unternehmensstrategie erbringen will, sollten hinsichtlich der Anforderungen klare Verantwortlichkeiten und Vorgaben durch das Kerngeschäft (den Kunden) sowie ein klares Verständnis über den durch die IT (den Dienstleister) zu deckenden Bedarf (WAS und WIE) bestehen. 

Diese Vorgaben wiederum sollten zu einer klaren Festlegung der IT-eigenen Ziele (IT Ziele) führen, welche wiederum IT Ressourcen und deren Leistungen (Unternehmensarchitektur für IT) definieren, die für eine erfolgreiche Erfüllung der sich aus der Strategie ergebenden Aufgaben erforderlich sind. Alle diese Ziele sollten in einer Sprache ausgedrückt werden, die vom Kunden verstanden wird.

Nachdem die abgeglichenen Ziele festgelegt wurden, müssen diese einem Monitoring unterliegen, um sicherzustellen, dass die tatsächliche Leistungserbringung den Erwartungen entspricht. Dies wird durch von den Zielen abgeleitete Metriken erreicht und in der IT Scorecard in einer Form festgehalten, die der Kunde verstehen und verfolgen kann und die es dem Leistungserbringer wiederum ermöglicht, den Fokus auf die internen Vorgaben zu legen.