Organisaation tietoturvapolitiikassa on määriteltävä järjestelmän laajuus. Tietoturvapolitiikassa on määriteltävä erityisesti seuraavat asiat:

• keitä tietoturvapolitiikka koskee
• mitä omaisuuseriä se kattaa
• mitkä sijainnit kuuluvat politiikan piiriin
• mitä toimintoja se kattaa
• yhdennetyn hallinto- ja valvontajärjestelmän tietoverkkoturvallisuusnäkökohtien vastuut ja roolit.

Organisaatiolla olisi oltava tarkistusprosessi operatiivisten järjestelmiensä turvallisuustason arvioimiseksi. Arvioinnin olisi katettava sekä laitteistot että ohjelmistot, järjestelmäsuunnittelu, verkkorajapinnat ja tukisovellukset. Tarkoituksena on tunnistaa puutteet operatiivisten järjestelmien turvallisuudessa ja hahmotella tarvittavat muutokset ja parannukset. Prosessin olisi katettava myös uusien IACS-laitteiden valinta ja turvallinen käyttöönotto.

The organization should establish a business continuity team that includes a designated team leader, an IACS specialist, and key process owners from other critical areas.

The responsibilities of the business continuity team should be clearly defined in case of a significant disruption to ensure that it has the authority to make important decisions in critical situations.

The responsibilities should include, for example:

• determining the priority of critical functions (or systems) to resume operations
• making decisions about the allocation of resources for restoration
• communication with other parties

Johdon olisi määriteltävä sidosryhmäryhmän kokoonpano (esim. ne, jotka ovat vastuussa organisaation turvallisuuden tietyistä näkökohdista). Ryhmä tarvitsee myös asianmukaista asiantuntemusta sellaisilta aloilta, joihin yhdennetyn hallinto- ja valvontajärjestelmän turvallisuus vaikuttaa. Ryhmällä olisi oltava sekä tietoturvan että aihepiirin asiantuntemusta ja asianmukaiset valtuudet tehdä päätöksiä.

The organization should assess and document the rationale for assigning access rights using individual accounts versus group accounts within the industrial control system environment. The evaluation must consider not only standard cybersecurity threats, risks, and vulnerabilities, but also broader impacts such as:

• Health, Safety, and Environmental (HSE) risks associated with incorrect or overly broad access.
• Physical security controls that may mitigate access risks.
• Accountability and traceability needs (e.g., individual actions must be auditable where required).
• Administrative and operational constraints (e.g., ease of management, staffing changes, emergency access).