Procederá a efectuarse un análisis de riesgo de los activos identificados (o deseados) anteriormente siguiendo.

El plan de Gestión del Riesgo es un documento en el que se definirán las acciones coordinadas y se seleccionarán los controles adecuados para implantarlos durante la Fase de Implantación del SGSI. Este plan debe contener las acciones a ejecutar a corto, medio y largo plazo; los costes asociados en términos de inversiones, costes operativos, cargas de trabajo y un calendario de implantación. Debería incluir:

· Diseño y una arquitectura global de seguridad

· Identificación de los controles establecidos en la norma ISO 17799 en respuesta a las amenazas evaluadas.

· Identificación de los controles de la norma ISO 17799 excluidos en función el análisis de riesgo y a la naturaleza de la Organización y su actividad

· Valoración del nivel actual de confianza de los controles o salvaguardas, que incluye la determinación de su eficacia

· Una visión general de la valoración de los riesgos residuales en el contexto del sistema o aplicación. Los riesgos residuales resultantes deberán ser aprobados por Dirección.

· La identificación y definición de acciones con su prioridad respectiva con objeto de implantar salvaguardas

· Un plan de trabajo detallado para la implantación de los controles, incluyendo prioridades, presupuesto y calendarios

· Actividades de control del proyecto incluyendo el compromiso de recursos, asignación de responsabilidades y la definición de procedimientos para el seguimiento del progreso

· La concienciación en la seguridad y los requisitos de formación para la plantilla de Sistemas de Información y los usuarios finales

· Los requisitos para el desarrollo de los procedimientos de operación y administración de la seguridad

El plan debe incluir los procedimientos que definen las condiciones y acciones para la validación de cada uno de los puntos arriba expuestos, incluyendo la modificación del propio plan.