Conforme estabelecido na NBR ISO/IEC 27001, “Plan” (Planejar) se define como estabelecer a política, objetivos, processos e procedimentos do Sistema de Gestão de Segurança da Informação (SGSI). Esse processo de planejamento é relevante para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. “Plan” (Planejar) é uma das atividades do modelo PDCA estabelecido pela NBR ISO/IEC 27001. Os outros 3 componentes do modelo PDCA são, respectivamente: