Esta fase aplica los controles definidos sobre la operativa de la organización. En esta fase se ponen en marcha medidas relacionadas con proveedores, incidentes, privacidad, formación, seguridad física, protección de equipos, configuración técnica, copias de seguridad, redes, software y nuevas aplicaciones. El objetivo es convertir la base definida en la Fase 1 en controles implantados, comunicados y evidenciados.