Na podstawie analizy ryzyka i strategicznego dokumentu z polityką należy opracować plan działań, ktry będzie obejmować konkretne kroki do podjęcia w celu zwiększenia bezpieczeństwa informacji. Plan ten powinien uwzględniać zarwno aspekty technologiczne, jak i organizacyjne.