o que será feito, quais recursos serão necessários, quem será responsável, quando estará concluído e como os resultados serão avaliados.

o escopo da segurança da informação, os limites de acesso dos parceiros comerciais, as restrições orçamentárias e o modo como as medidas de segurança serão implementadas.

como os mecanismos de segurança serão implementados, como será feito o acompanhamento da efetividade das medidas de segurança e como os resultados serão medidos.

as áreas vulneráveis, as vulnerabilidades ranqueadas por criticidade e por área, as medidas cabíveis para corrigir as vulnerabilidades e os métodos de acompanhamento e melhoria dos mecanismos de segurança aplicados.

os objetivos do negócio, as áreas de negócio vulneráveis, os responsáveis pela segurança da informação em cada área e os recursos necessários para implementar as medidas de segurança.