Johdon on huolehdittava siitä, että organisaatiossa on määritelty tiedonhallintalaissa (sekä muissa laeissa) säädettyjen tiedonhallinnan toteuttamiseen liittyvien tehtävien vastuut.
Vastuut voidaan määrittää Digiturvamallissa vastuuttamalla eri tiedonhallinnan osa-alueisiin (esim. tietoturvaohjeet, tietojärjestelmät, rekisterinpito, asiahallinta) liittyvät tehtävät sekä dokumentaatiokohteet.
Ylimmän johdon on varmistettava selkeät vastuut / valtuudet vähintään seuraavissa teemoissa:
Tietoturvan hallintajärjestelmän pääteemojen vastuuhenkilöt esitetään hallintajärjestelmän työpöydällä sekä Tietoturvapolitiikka-raportissa.
Ylimmän johdon on lisäksi varmistettava, että kaikki tietoturvan kannalta tärkeät roolit sekä niihin liittyvät vastuut ja valtuudet on määritelty ja niistä viestitään.