接續上篇，在與客戶討論之後，確認客戶端是否能接受?花費的金額及時間是否可接受?
後續所帶來的效益為何?組織的驅動因素夠強勁嗎?或是組織覺得為了單一客戶而花費的成本過多，甚至超過該客戶所帶來的營收，或是該方案，可以帶給組織更大的市場效益?如:商譽、消費者信心指數等?

在上篇，已有初階的評估方案，若經組織高層簽核，確定可行。此專案就成形，其專案大小，則需視情況而定，可從投資組合-Protflio、計畫-Program、專案-Project，部分組織可能有PMO單位，統籌組織內大大小小的計畫、專案，達到組織-戰略-Strategy、策略-Policy的一致性，做到組織/創辦人的願景Vision/使命Mission。

但最主要的，仍是讓組織能夠透過做好資訊安全措施，保護資訊/資產，達到資訊安全的目標-CIA，將資訊安全融入組織-商業流程，確保不中斷，持續創造價值，達到組織的使命跟願景。

因此，在可行性評估結果為可行，則會啟動投資組合/計畫/專案，依照負責大小/範圍等，各自任命負責人，由此負責人拿到任命書，依此任命書與關係利害人；贊助者協調，目標為何?預算多少?時間為多久?
納入風險、團隊徵編、資源時程、驗收準則、品質保證、溝通計畫等開始此專案，以及先後順序，資源調派，與關係利害人、贊助者進行溝通協調，或是部分要求無法做到，需進行外包，也是需要將供應鏈廠商進行，如RMF報告、供應廠商評選準則、投標會議(價格標、最佳標)、合約、SLA服務水準、如何談需求、保留稽核權、如何驗收、品質要求等供應商管理。