Esta fase establece la base inicial del SGSI. En esta fase se definen los elementos mínimos necesarios para organizar la seguridad de la información: política de seguridad, roles y responsabilidades, inventario de activos, normas de uso, clasificación de la información, gestión de accesos y obligaciones básicas del personal. El objetivo es dejar preparado el marco organizativo y documental sobre el que se apoyarán las actividades de implantación de las fases posteriores.