Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados y que incluya la financiación, la asignación de roles y responsabilidades.
Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.
Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles seleccionados.
Procurar programas de formación y concienciación en relación a la seguridad de la información dirigidos a todos los usuarios.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.
Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad. (Auditorías)