A atribuição de regras e responsabilidades envolvendo o Comitê de Segurança da Informação, Proprietário das Informações, Area de Segurança da Informação, Recursos Humanos e Auditoria Interna são subfases do desenvolvimento de uma política de segurança da informação. Pode-se afirmar que estas subfases pertencem a fase de: