A implantar os controles mais importantes, conforme estudo presente na declaração de aplicabilidade;
B ser estruturados com base no modelo PDCA;
C tratar prioritariamente as vulnerabilidades que envolvem aspectos humanos;
D eliminar primeiro as ameaças que gerem vulnerabilidades;
E dar especial atenção, em um primeiro momento, aos ativos intangíveis.