I. Establecer un programa de seguridad de la información que garantice la continuidad de la operación, minimice los riesgos y maximizar la eficiencia de los servicios, y

 

II. Implementar controles que incluyan políticas de seguridad que abarquen la estructura organizacional, clasificación y control de activos, recursos humanos, seguridad física y ambiental, comunicaciones y administración de operaciones, control de acceso, desarrollo y mantenimiento de sistemas, continuidad de las actividades de la organización, gestión de riesgos, requerimientos legales y auditoría.