definir a abordagem de como será realizada a análise e avaliação dos riscos na organização.

realizar a medição da eficácia dos controles estabelecidos no SGSI para verificar se estão atendidos.

integrar os stakeholders na comunicação das ações de melhoria.

elaborar o plano de tratamento dos riscos, identificando-se as ações de gestão apropriadas, os recursos a serem utilizados e as responsabilidades para a gestão dos riscos em segurança da informação.

obter autorização da direção da organização para a implementação e operação do SGSI.