Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

• määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
• määrittämään tietoturvan hallintaan tarvittavat resurssit
• viestimäään tietoturvallisuuden tärkeydestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Organisaatio on määritellyt menettelyt tietoturvariskien arviointiin ja käsittelyyn. Määrittely sisältää ainakin:

• Riskien tunnistamistavat
• Tietoturvariskien analysoinnin menetelmät
• Tietoturvariskien arvioinnin kriteerit (seuraukset ja todennäköisyys)
• Riskien priorisointi ja käsittelyvaihtoehtojen sekä hallintakeinojen määrittely
• Riskien hyväksymiskriteerit
• Prosessin toteutussykli, resursointi ja vastuut

Tehtävän omistaja tarkistaa säännöllisesti, että riskikriteerit ovat selkeitä ja tuottavat johdonmukaisia arvioita.

Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Organisaation on käytettävä, ylläpidettävä ja jatkuvasti kehitettävä tietoturvallisuuden hallintajärjestelmää.

Hallintajärjestelmään liittyvät rajaukset ja soveltamisala, sisällöt, roolitus, kertyvä toteutustieto sekä muu tarpeellinen kuvaustieto on oltava selkeästi dokumentoitu.

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

• ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
• ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
• niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
• ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.

Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin. 

Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:

• pääsynhallinta
• fyysinen turvallisuus
• suojattavan omaisuuden hallinta
• varmuuskopiointi
• salauskäytännöt
• tietojen luokittelu
• teknisten haavoittuvuuksien hallinta
• turvallinen kehittäminen