Neste nível, os processos de segurança da informação começam a ser documentados, padronizados e monitorados. Há uma política de segurança definida, mas ainda não é totalmente implementada e seguida. Os incidentes de segurança são registrados e analisados, mas as ações preventivas e de melhoria ainda são limitadas. A segurança da informação é reconhecida como uma necessidade, mas não há uma visão integrada e alinhada com os objetivos do negócio.