Organisaation tietoturvapolitiikassa on määriteltävä järjestelmän laajuus. Tietoturvapolitiikassa on määriteltävä erityisesti seuraavat asiat:

• keitä tietoturvapolitiikka koskee
• mitä omaisuuseriä se kattaa
• mitkä sijainnit kuuluvat politiikan piiriin
• mitä toimintoja se kattaa
• yhdennetyn hallinto- ja valvontajärjestelmän tietoverkkoturvallisuusnäkökohtien vastuut ja roolit.

Organisaatiolla olisi oltava tarkistusprosessi operatiivisten järjestelmiensä turvallisuustason arvioimiseksi. Arvioinnin olisi katettava sekä laitteistot että ohjelmistot, järjestelmäsuunnittelu, verkkorajapinnat ja tukisovellukset. Tarkoituksena on tunnistaa puutteet operatiivisten järjestelmien turvallisuudessa ja hahmotella tarvittavat muutokset ja parannukset. Prosessin olisi katettava myös uusien IACS-laitteiden valinta ja turvallinen käyttöönotto.

Organisaation olisi perustettava liiketoiminnan jatkuvuusryhmä, johon kuuluu nimetty ryhmän johtaja, yhdennetty hallinto- ja valvontajärjestelmäasiantuntija ja keskeisten prosessien omistajia muilta kriittisiltä alueilta.

Liiketoiminnan jatkuvuusryhmän vastuualueet olisi määriteltävä selkeästi merkittävän häiriötilanteen varalta, jotta varmistetaan, että sillä on valtuudet tehdä tärkeitä päätöksiä kriittisissä tilanteissa.

Vastuualueisiin tulisi kuulua esimerkiksi

• kriittisten toimintojen (tai järjestelmien) tärkeysjärjestyksen määrittäminen toiminnan jatkamista varten.
• päätösten tekeminen resurssien jakamisesta toiminnan palauttamista varten.
• yhteydenpito muihin osapuoliin

Johdon olisi määriteltävä sidosryhmäryhmän kokoonpano (esim. ne, jotka ovat vastuussa organisaation turvallisuuden tietyistä näkökohdista). Ryhmä tarvitsee myös asianmukaista asiantuntemusta sellaisilta aloilta, joihin yhdennetyn hallinto- ja valvontajärjestelmän turvallisuus vaikuttaa. Ryhmällä olisi oltava sekä tietoturvan että aihepiirin asiantuntemusta ja asianmukaiset valtuudet tehdä päätöksiä.

Organisaation olisi arvioitava ja dokumentoitava perusteet, joiden perusteella käyttöoikeudet myönnetään yksittäisten tilien ja ryhmätilien avulla teollisuuden ohjausjärjestelmäympäristössä. Arvioinnissa on otettava huomioon tavanomaisten tietoturvauhkien, -riskien ja -haavoittuvuuksien lisäksi myös laajemmat vaikutukset, kuten seuraavat:

• Virheellisiin tai liian laajoihin käyttöoikeuksiin liittyvät terveys-, turvallisuus- ja ympäristöriskit.
• Fyysiset turvavalvontatoimet, jotka voivat lieventää pääsyriskejä.
• vastuuvelvollisuus- ja jäljitettävyystarpeet (esim. yksittäisten toimien on oltava tarvittaessa tarkastettavissa).
• Hallinnolliset ja toiminnalliset rajoitukset (esim. hallinnoinnin helppous, henkilöstömuutokset, pääsy hätätilanteessa).