preparar um plano diretor de tecnologia da informação;

obter da alta gestão a aprovação dos riscos do plano de tratamento de riscos;

elaborar uma declaração de aplicabilidade que contenha os controles avançados de segurança da informação;

determinar os controles que são necessários para implementar as opções escolhidas do tratamento de riscos de segurança da informação;

selecionar, de forma apropriada, as opções de tratamento dos riscos da segurança da informação levando em consideração os requisitos da alta gestão.