4.2.1 Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo
4.2.2 Implementar e operar o SGSI
A organização deve:
a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança (ver seção 5).
b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.
c) Implementar os controles selecionados em 4.2.1g) para atender aos objetivos de controle.
d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)).
e) Implementar programas de conscientização e treinamento (ver 5.2.2).
f) Gerenciar as operações do SGSI.
g) Gerenciar os recursos para o SGSI (ver 5.2).
h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação (ver 4.2.3 a)).
Fonte: ABNT NBR ISO/IEC 27001:2006