Модель Business Model for Information Security (BMIS) была выпущена ISACA в 2010 году и предназначалась для разъяснения ключевых аспектов системного подхода к управлению информационной безопасностью. Эта модель расширяет традиционную троицу элементов (люди, процессы, технологии) четвертым элементом — «Организация» и вводит шесть связей между элементами, включая «Человеческий фактор». Несмотря на то, что модель была разработана для информационной безопасности, она оказалась применима и в контексте ITSM. В процессе разработки курса ITIL® Practitioner и подготовки мастер-класса по совершенствованию в ITSM модель BMIS была адаптирована для ITSM-контекста, дополнена четырьмя связями и чеклистами с вопросами для планирования ITSM-преобразований.