Organisaatiolla on määritelty tietoturvariskien hallintaa koskeva politiikka, josta on tiedotettu asianomaisille sidosryhmille ja jonka ylin johto on hyväksynyt. Politiikkaan olisi sisällyttävä ainakin seuraavat asiat

• Peruste riskienhallinnan vaatimusten ja tavoitteiden asettamiselle organisaation kontekstin perusteella.
• Sitoutuminen tietoturvariskien hallintajärjestelmään.
• Riskienhallintaprosessin strategiset suuntaviivat
• Yleiskatsaus riskienhallinnan rooleihin ja vastuualueisiin

Politiikka olisi pidettävä ajan tasalla, sitä olisi tarkistettava säännöllisesti ja siinä olisi otettava huomioon organisaatiomuutokset. Tehtävän omistajan olisi myös varmistettava, että politiikka on ymmärrettävä ja kaikkien osapuolten saatavilla.

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation olisi määriteltävä ja dokumentoitava tietoturvarakenne, jossa määritellään selkeät roolit, vastuualueet ja raportointilinjat. Tähän rakenteeseen on kuuluttava tietoturvahenkilöstön lisäksi myös muita asiaankuuluvia turvallisuusrooleja (esim. fyysinen turvallisuus, turvallisuus, vaatimustenmukaisuus), jotta varmistetaan koordinoitu riskienhallinta.

Johdon johdolla olisi perustettava tai nimettävä virallinen organisaatio, rakenne tai sidosryhmien verkosto, joka huolehtii tietoturvaan liittyvien toimien strategisesta ohjauksesta, valvonnasta ja vastuullisuudesta. Tämä johtajuuteen perustuva lähestymistapa varmistaa, että tietoturva saa tarvittavan näkyvyyden ja tuen koko organisaatiossa ja että se on linjassa laajempien liiketoiminta- ja riskienhallintatavoitteiden kanssa.

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

• määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
• määrittämään tietoturvan hallintaan tarvittavat resurssit
• viestimäään tietoturvallisuuden tärkeydestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.