In questa sezione si provvede a censire le tipologie di dati, i software e l’hardware che devono entrare a far parte del perimetro della sicurezza, e soprattutto si provvede a gestire le regole che determinano una corretta politca di security per le aziende.
Riveste importanza anche la sezione delle nomine nella quale si assegnano compiti e responsabilità seguendo attraverso le date, di inizio e fine, le attività che per ogni nomina devono essere espletate.
Sempre in questa sezione si applica poi la regola del "Privacy Impact assessment", previsto dal regolamento europeo, con questa attività sarà possibile censire per ogni software i dati privati compresi e da comprendere.