En esta etapa se realizan varias actividades enfocadas en el diseño del EGSI. Dichas actividades contemplan:
- La Identificación del alcance del EGSI,
- La elaboración de la política de seguridad de la información (alto nivel),
- La definición de la metodología de análisis y evaluación de riesgos,
- La elaboración del plan de comunicación y sensibilización, y su ejecución.