Organisaation on luotava ja ylläpidettävä omaisuudenhallintapolitiikka, joka kattaa vähintään seuraavat asiat:

• vaatimukset tieto- ja viestintäteknisten järjestelmien turvalliseen asennukseen, ylläpitoon, konfigurointiin ja poistamiseen
• vaatimukset tieto- ja viestintäteknisen omaisuuden hyödyntämien tieto-omaisuuserien hallintaan, mukaan lukien niiden käsittely ja jalostus sekä automaattisesti että manuaalisesti
• vaatimukset vanhojen ICT-järjestelmien tunnistamiseen ja hallintaan

Organisaation on lueteltava:

• Jos omaisuuserä voi olla tai on alttiina ulkoisille verkoille.
• tieto- ja viestintätekniikkavarojen ja kutakin tieto- ja viestintätekniikkavaraa käyttävien liiketoimintojen väliset yhteydet ja keskinäiset riippuvuussuhteet.
• tarvittaessa kaikkien tieto- ja viestintätekniikkavarojen osalta kolmannen osapuolen tieto- ja viestintäteknisten palveluntarjoajien säännöllisten, laajennettujen ja räätälöityjen tukipalvelujen päättymispäivämäärät, joiden jälkeen toimittaja tai kolmannen osapuolen tieto- ja viestintäteknisten palveluntarjoaja ei enää tue kyseisiä tieto- ja viestintätekniikkavaroja.

Organisaatio on kehittänyt tieto-omaisuudenhallintastrategian, joka sisältää kattavat ja säännöllisesti päivitettävät inventoinnit kaikesta fyysisestä, virtuaalisesta, etä- ja pilvipalveluun liitetystä omaisuudesta. Tieto-omaisuudenhallintastrategia kattaa myös ulkoisen omaisuuden, ja siinä hyödynnetään automatisoituja seurantatyökaluja tarkkuuden ja tietosuojamääräysten noudattamisen varmistamiseksi.

Organisaation olisi määriteltävä käytännöt, prosessit tai tekniset toimenpiteet organisaation omaisuuden katoamisen, väärinkäytön, vahingoittamisen ja varkauksien varalta. Näihin kuuluu esimerkiksi seuraavat:

• Raportointiprosessi
• Ohjeet ja käsikirjat
• Omaisuuden ja inventaarion seuranta
• Vakuutus
• Säännölliset tarkastukset
• Kulunvalvonta
• Laitteiden koventaminen
• Koulutus- ja tiedotusohjelmat
• Mobiililaitteiden hallinta
• Tietojen salaus ja suojaus
• Fyysinen turvallisuus

Teemakohtaiset politiikkadokumentit voivat auttaa eri osa-alueisiin liittyvien tehtävien, ohjeistusten sekä muun dokumentaation viestintää ja katselmointia sekä mahdollisten ylätason periaatteiden liittämistä näihin tarkempaa toteutusta kuvaaviin hallintajärjestelmän sisältöihin.

Organisaation on määriteltävä, mitä teemakohtaisia politiikkadokumentteja ylläpidetään sekä tarvittaessa katselmoidaan kokonaisuuksina halutuin väliajoin. Esimerkkejä teemoista, joille omaa politiikkadokumenttia voidaan haluta ylläpidää, ovat mm.:

• pääsynhallinta
• fyysinen turvallisuus
• suojattavan omaisuuden hallinta
• varmuuskopiointi
• salauskäytännöt
• tietojen luokittelu
• teknisten haavoittuvuuksien hallinta
• turvallinen kehittäminen

Aina hankittaessa tai kehitettäessä uusia tietojärjestelmiä noudatetaan ennalta määritettyjä turvallisuussääntöjä huomioiden järjestelmän prioriteetti. Sääntöjen avulla varmistetaan, että tietojen käsittelyn turvallisuus järjestelmässä on varmistettu riittävin toimenpitein.

Organisaation on lueteltava kaikki asiaankuuluvat suojatut omaisuuserät omistusoikeuden määrittämiseksi ja sen varmistamiseksi, että turvatoimenpiteet kattavat kaikki tarvittavat kohteet.

Suuri osa suojatusta omaisuudesta (mukaan lukien tietojoukot, tietojärjestelmät, henkilöstö/yksiköt ja kumppanit) käsitellään muiden tehtävien kautta. Lisäksi organisaation on lueteltava muut tärkeät omaisuuserät, joita voivat olla toiminnan luonteesta riippuen esimerkiksi laitteisto (palvelimet, verkkolaitteet, työasemat, tulostimet) tai infrastruktuuri (kiinteistöt, sähköntuotanto, ilmastointi). Lisäksi organisaation on varmistettava, että asiaankuuluvat ulkoiset laitteet dokumentoidaan.