Organisaatio nimittää tietoturvavastaavan, joka vastaa tiettyjen verkkojen ja järjestelmien vaatimustenmukaisuudesta.

• Varmistetaan, että ehdokas täyttää samat pätevyysvaatimukset kuin tietoturvapäällikkö.
• Annetaan tietoturvavastaavalle mahdollisuus valvoa tarvittaessa useita järjestelmiä.
• Vaihtoehtoisesti ulkoistetaan tämä tehtävä palveluntarjoajalle tai nimitetään CISO huolehtimaan tehtävistä.

Organisaatio nimittää tietoturvajohtajan (CISO), joka täyttää määritellyt vaatimukset ja vastaa organisaation riskienhallintatoimenpiteiden toteuttamisesta.

• Varmistetaan, että henkilö on suoraan vastuussa yhteisön johtajalle.
• Varmistetaan, että ehdokas täyttää kelpoisuusvaatimukset: moitteeton maine, ei viimeaikaisia rangaistuksia ja asiaankuuluva kokemus tai sertifiointi.
• Määritellään hänen vastuualueensa kyberturvallisuusriskien hallintatoimenpiteiden ja vaatimustenmukaisuuden osalta.
• Vaihtoehtoisesti tehtävä voidaan yhdistää tietoturvavastaavan tehtävään tai ulkoistaa.

Organisaation olisi määriteltävä ja dokumentoitava tietoturvarakenne, jossa määritellään selkeät roolit, vastuualueet ja raportointilinjat. Tähän rakenteeseen on kuuluttava tietoturvahenkilöstön lisäksi myös muita asiaankuuluvia turvallisuusrooleja (esim. fyysinen turvallisuus, turvallisuus, vaatimustenmukaisuus), jotta varmistetaan koordinoitu riskienhallinta.

Johdon johdolla olisi perustettava tai nimettävä virallinen organisaatio, rakenne tai sidosryhmien verkosto, joka huolehtii tietoturvaan liittyvien toimien strategisesta ohjauksesta, valvonnasta ja vastuullisuudesta. Tämä johtajuuteen perustuva lähestymistapa varmistaa, että tietoturva saa tarvittavan näkyvyyden ja tuen koko organisaatiossa ja että se on linjassa laajempien liiketoiminta- ja riskienhallintatavoitteiden kanssa.

Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:

• kuka on ensisijaisesti vastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvavaatimusten mukainen.
• ketkä toimivat ISMS:n teemojen omistajina, jotka vastaavat tietoturvallisuuden hallintajärjestelmän pääteemoista.
• kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän toimivuudesta.
• kenellä on valtuudet suorittaa sisäisiä tarkastuksia

ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.

Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

• millainen pätevyys tällä henkilöstöllä tulee olla
• kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
• kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.