Organisaatiomme on määritellyt toimintatavat henkilöstön digiturvaosaamisen ylläpitämiseen. Näihin voi liittyä mm. seuraavia asioita:

• henkilöstölle on olemassa ohjeet, joilla kuvataan työrooliin liittyvät digiturvan yleiset säännöt
• henkilöstöä koulutetaan, jotta he pystyvät toimimaan turvallisesti, tietävät ohjeet ja kykenevät noudattamaan niitä
• henkilöstö osoittaa testien tai muun vastaavan avulla omaavansa turvallisen toiminnan vaatimat digiturvataidot ja -tiedot

Koulutus keskittyy kullekin työroolille oleellisimpiin digiturvateemoihin, mutta sisältää tarpeeksi usein myös kaikkia työntekijöitä koskevat "perusasiat":

• työntekijän henkilökohtainen vastuu (mm. päätelaitteista ja käsittelemästään tiedosta)
• kaikkia koskevat käytännöt (mm. tietoturvahäiriöiden raportointi)
• kaikkia koskevat säännöt (mm. puhdas työpöytä)
• organisaation tietoturvaroolit (keneen yhteyttä ongelmatilanteissa)

Organisaation on otettava käyttöön ja pantava täytäntöön toimintatapoja, joilla estetään osallistuminen kyberturvallisuutta vaarantavaan toimintaan, mukaan lukien:

• Kielletään laittomaan tai rikolliseen toimintaan, kuten petoksiin, rikollisiin menetelmiin tai kiellettyjen tai valvottujen tavaroiden tuotantoon ja myyntiin liittyvien verkkosivustojen ja viestintäryhmien perustaminen tai tietojen luovuttaminen.
• Luvattomaan pääsyyn, verkkohäiriöihin tai tietovarkauksiin tarkoitettujen työkalujen kehittämisen, jakelun tai käytön kieltäminen.
• Sen varmistaminen, että organisaatio ei tarjoa teknistä, taloudellista, mainos- tai muuta tukea henkilöille tai yhteisöille, jotka harjoittavat haitallista kybertoimintaa.
• Pidetään yllä nollatoleranssia tietoverkkorikollisuutta kohtaan ja tiedotetaan siitä koko henkilöstölle ja sidosryhmille.
• Tarjotaan säännöllistä koulutusta, jotta henkilöstö ymmärtää vastuunsa, tunnistaa väärinkäytökset ja osaa ilmoittaa huolenaiheista.

Organisaation olisi määriteltävä ja dokumentoitava tietoturvarakenne, jossa määritellään selkeät roolit, vastuualueet ja raportointilinjat. Tähän rakenteeseen on kuuluttava tietoturvahenkilöstön lisäksi myös muita asiaankuuluvia turvallisuusrooleja (esim. fyysinen turvallisuus, turvallisuus, vaatimustenmukaisuus), jotta varmistetaan koordinoitu riskienhallinta.

Johdon johdolla olisi perustettava tai nimettävä virallinen organisaatio, rakenne tai sidosryhmien verkosto, joka huolehtii tietoturvaan liittyvien toimien strategisesta ohjauksesta, valvonnasta ja vastuullisuudesta. Tämä johtajuuteen perustuva lähestymistapa varmistaa, että tietoturva saa tarvittavan näkyvyyden ja tuen koko organisaatiossa ja että se on linjassa laajempien liiketoiminta- ja riskienhallintatavoitteiden kanssa.

Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.

Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.