A fase “Definindo o SGSI" da norma ABNT NBR ISO/IEC 27003:2011 tem como objetivo completar o plano final de implantação
do SGSI por meio da definição da segurança da organização com base nas opções de tratamento de risco selecionadas e nos
requisitos de registros e documentação, definição dos controles pela integração com as provisões de segurança para TIC,
infraestrutura e processos organizacionais, e definição dos requisitos específicos do SGSI. Nesta fase, na atividade de definição
de uma estrutura para a documentação do SGSI, a saída é um documento