En la fase de Ejecución del ciclo PDCA se debe realizar la implantación y puesta en marcha del Sistema de Gestión:
- Preparar un Plan para el tratamiento de los riesgos, en el que se identifique las acciones, recursos, responsabilidades y prioridades durante la gestión de riesgos en el Esquema Gubernamental de Seguridad de la Información.
- Implantar los controles de seguridad seleccionados en la fase anterior. Estos controles se refieren a los controles más técnicos, así como a la documentación necesaria.
- Esta fase también se requiere establecer programas de formación y concienciación con relación a la seguridad de la información, para dar a conocer qué se está haciendo y por qué, a los funcionarios de la institución.