4. Strategi dan kontrol keamanan, merupakan proses untuk memberikan prioritas aksi yang akan
               dilakukan untuk mencapai tujuan dan sasaran keamanan informasi yang telah ditetapkan.

                       Rencana keamaanan informasi, diharapkan dapat secara efektif meredakan risiko gangguan
               terhadap  keamanan  informasi  pada  perusahaan.  Salah  satu  jenis  kontrol  yang  menentukan
               keberhasilan keamanan informasi pada sebuah organisasi ialah kebijakan (policy) tentang keamanan
               informasi. Penjelasan tetang kebijakan keamanan informasi, akan dibahas pada bagian selanjutnya.
               Analisis risiko pada akhirnya akan memberikan hasil identifikasi risiko, beserta rekomendasi kontrol
               keamanan yang terkait dengan upaya menurunkan risiko terserbut. Tahapan tersebut dinamakan
               rekomendasi kontrol.
                       Pada  tahap  control  recommendations  ini,  dilakukan  menyampaikan  beberapa  rekomendasi
               kontrol yang dapat diharapkan mampu meredakan atau mengurangi risiko yang ada. Adapun dasar
               dari  rekomendasi  sebuah  kontrol  ialah  kemampuan  kontrol  tersebut  dalam  menurunkan  risiko,
               berdasarkan penjelasan literatur dan best practice. Penilaian terhadap evaluasi dan analisis cost-
               benefit  dan  cost-effectiveness  dari  setiap  kontrol  akan  dilakukan  pada  tahap  risk  mitigation,
               sehingga akan diperoleh penilaian yang tidak hanya didasarkan pada literatur atau best practice,
               tetapi  akan  dianalisis  kesesuaian  dan  kemampuan  dalam  menurunkan  risiko.  Control
               recommendation akan menjadi hasil dari proses risk assessment dan akan menjadi input bagi proses
               risk mitigation, serta akan menjadi rekomendasi prosedur dan teknik dalam perencanaan keamaan
               informasi yang akan diimplementasikan kedepan