Para tratar os riscos da segurança da informação, uma organização deve definir e aplicar um processo contendo controles sobre seus ativos de informação. Nesse sentido, para assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização, deve-se implementar o(a):
