Utforma
Avsnittet består av tio delar: Organisation, Ledning och styrning, Informationssäkerhetsmål, Styrdokument, Riskhantering, Klassningsmodell, Välj säkerhetsåtgärder och skapa skyddsnivåer, Handlingsplan, Kontinuitetshantering för informationstillgångar, samt Incidenthantering.
Hur delarna ska utformas beror på resultaten i metodsteget Identifiera och analysera. Som helhet bör dessa leda till strategiska Informationssäkerhetsmål och beskrivning av roller i säkerhetsarbetet (Organisation).
Med stöd av gap-analysen utformas verksamhetens SoA (Statement of Applicability) som konkret uttrycker verksamhetens val av säkerhetsåtgärder och nuvarande brister. De valda säkerhetsåtgärderna ska dessutom uttryckas i Styrdokument varav vissa kan kopplas till särskilda klasser i en verksamhetsövergripande Klassningsmodell.
Informationssäkerhetpolicyn är ett övergripande Styrdokument som ska uttrycka ledningens viljeinriktning med informationssäkerhetsarbetet.
Brister enligt gap-analys och SoA ska omsättas till konkreta Informationssäkerhetsmål varav de som prioriteras ska tas om hand i en Handlingsplan.