Utilizando técnicas de análisis y evaluación de riesgo sobre la organización se determina el estado actual de seguridad de la información y se puede establecer un plan detallado y priorizado para la implementación de controles que apoyen en la gestión de seguridad de la información.