Para Estabelecer o Plan:

1. Definir o escopo e limites: Características do negócio, da organização, sua localização, seus recursos, tecnologia e detalhes ou justificativas para qualquer exclusão do escopo
2. Definir a política do SGSI
   
   • Requisitos de Negócio
   • Requisitos legais ou regulatórios
   • Obrigações contratuais de segurança
   • Criar critérios para avaliar os riscos.
3. Definir estratégia de avaliação de risco, para isso é necessário criar:
   
   • Metodologia de avaliação de risco
   • Critérios para a aceitação de riscos
   • Identificar níveis aceitáveis de risco
4. Identificar os riscos
   
   • Ativos e os seus proprietários
   • ameaças
   • vulnerabilidades (que poderiam ser exploradas pelas ameaças)
     
   • impactos
5. (e) Analisar e avaliar os riscos:
6. (f) Identificar e avaliar as opções para o tratamento de riscos
7. Selecionar os objetivos de controle e controles para o tratamento de riscos
   Ex.: Acordos de Confidencialidade
   
8. Obter aprovação da Gerência dos riscos residuais propostos
9. Obter autorização da Gerência para Implementar e operar o SGSI (Do)
10. (j) Preparar uma Delaração de Aplicabilidade de deverá incluir:
    
    • Os objetivos de controle e controles e as razões para sua seleção
    • Os objetivos de controle e controles implementados atualmente
    • A exclusão de qualquer objetivo de controle e controle e a justificativa para tal.

Voltar para Normas de Segurança ISO 27001 - 17799