4.Analise / avaliação e tratamento de riscos.
Devemos identificar os riscos de segurança e depois priorizar cada risco com base nos critérios, verificar o que é mais critico para a empresa. Deve-se fazer o levantamento de todos os ativos da empresa,que são críticos,para que se encontre e avalie os riscos que podem ocorrer sobre estes. Encontrar as vulnerabilidades do sistema adotado pela empresa e em até que ponto estas impactam sobre os riscos da empresa. Envolve tomar uma decisão sobre o tratamento do risco,como aplicar controles que reduzam ao máximo os riscos, reconhecer que ele atenda a politica da organização. Os controles devem assegurar que os riscos sejam reduzidos de modo aceitável , ou seja , os custos e de implementação e a operação em relação aos riscos.

4.1 Analisando / avaliando os riscos de segurança da informação. 4.2 Tratando os riscos de segurança da informação

5.Politica de segurança da informação.
Aplicar as normas de segurança da informação. A política de segurança da empresa de ser definida de forma clara de acordo com os riscos, a criticidade de cada um e levar em consideração as normas de segurança. O apoio e aceitação da direção na politica de segurança é importante. É necessário que se estabeleça o enfoque da empresa para gerenciar a segurança da informação.

5.1 Documento da politica da informação.
__________________ __________________

7 Gestão de Ativos
O capitulo de Gestão de Ativos, trata do Gerenciamento dos Ativos, como fazer e como implementar esta gestão. A forma mais fácil de uma Gestão é através de inventários de ativos e das informações, tendo o objetivo alcançar e manter a proteção adequada dos ativos da organização.

Tipos de ativos:
 # Ativos de Informação: base de dados e arquivos, contratos e acordos;  # Ativos de Software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;  # Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídia removíveis e outros