Organisaation olisi varmistettava, että sen tukijärjestelmien suojaustaso vastaa niiden pääjärjestelmien suojaustasoa, joita ne palvelevat. Tämä voidaan saavuttaa seuraavasti:

• Kartoittamalla pääjärjestelmät niitä tukeviin järjestelmiin.
• määrittelemällä kullekin pääjärjestelmälle vaadittu suojaustaso.
• Arvioimalla, täyttävätkö tukijärjestelmät vaaditun turvallisuustason.
• Käyttämällä vain sellaisia tukijärjestelmiä, jotka täyttävät määritellyn turvallisuustason.
• Ilmoittamalla tukijärjestelmää käyttävälle organisaatiolle, jos tukijärjestelmä tarjotaan palveluna, turvallisuusluokkavaatimukset, jotka tukijärjestelmä täyttää.

Organisaation on otettava käyttöön ja ylläpidettävä muodollinen prosessi, jolla varmistetaan, että kaikki suojausta vaativat tietojärjestelmät ovat nimetyn akkreditointiviranomaisen hyväksymiä.

Jos järjestelmässä käsitellään turvaluokiteltua tietoa, akkreditointi on hankittava ennen järjestelmän käyttöönottoa.

Organisaation on myös luotava prosessi järjestelmän akkreditoinnin ylläpitämiseksi, jos järjestelmään tai sen turvallisuustilanteeseen tehdään merkittäviä muutoksia.

Organisaation on varmistettava jo ennakolta, että hankittavat tietojärjestelmät ovat tietoturvallisia. Tämän varmistamiseksi tärkeä hankittavan tietojärjestelmän toimittajalta on vaadittava riittäviä turvallisuuteen liittyviä selvityksiä jo hankintavaiheessa.

Toimittajan tulee selvittää vähintään seuraavat:

• Palvelusta on järjestelmäkuvaus. Palveluntarjoajan kuvauksen perusteella on pystyttävä arvioimaan kyseisen palvelun yleistä soveltuvuutta kyseiseen asiakkaan käyttötapaukseen. Järjestelmäkuvauksesta tulee käydä ilmi vähintään
• Palvelun palvelu- ja toteutusmallit, sekä näihin liittyvät palvelutasosopimukset (Service Level Agreements, SLAs).
• Palvelun tarjoamisen elinkaaren (kehittäminen, käyttö, käytöstä poisto) periaatteet, menettelyt ja turvatoimet, valvontatoimet mukaan lukien.
• Palvelun kehittämisessä, ylläpidossa/hallinnassa ja käytössä käytettävän infrastruktuurin, verkon ja järjestelmäkomponenttien kuvaus.
• Muutostenhallinnan periaatteet ja käytännöt, erityisesti turvallisuuteen vaikuttavien muutosten käsittelyprosessit.
• Käsittelyprosessit merkittäville normaalikäytöstä poikkeaville tapahtumille, esimerkiksi toimintatavat merkittävissä järjestelmävikaantumisissa.
• Palvelun tarjoamiseen ja käyttöön liittyvät roolit ja vastuunjako asiakkaan ja palveluntarjoajan välillä. Kuvauksesta on käytävä selvästi esille ne toimet, jotka kuuluvat asiakkaan vastuulle palvelun turvallisuuden varmistamisessa. Palveluntarjoajan vastuisiin tulee sisältyä yhteistyövelvollisuus erityisesti poikkeamatilanteiden selvittelyssä.
• Alihankkijoille siirretyt tai ulkoistetut toiminnot.