Um sistema de gestão de Segurança da Informação (SGSI) deve ser estabelecido nas organizações, considerando o escopo definido, os riscos e as oportunidades que precisam ser gerenciadas para o alcance de seu objetivo.
De acordo com a NBR ISO/IEC 27001, para realizar o gerenciamento desses riscos e oportunidades, a organização deve planejar ações para:
integrar e implementar as ações de tratamento dos riscos e oportunidades dentro dos processos do SGSI;
aceitar os riscos identificados no SGSI;
realizar avaliações dos riscos de segurança e das oportunidades identificadas no SGSI;
aplicar um processo de avaliação dos riscos de segurança do SGSI;
identificar os proprietários dos riscos e seu envolvimento com as oportunidades identificadas no SGSI.