Organisaation olisi määriteltävä ja dokumentoitava tietoturvarakenne, jossa määritellään selkeät roolit, vastuualueet ja raportointilinjat. Tähän rakenteeseen on kuuluttava tietoturvahenkilöstön lisäksi myös muita asiaankuuluvia turvallisuusrooleja (esim. fyysinen turvallisuus, turvallisuus, vaatimustenmukaisuus), jotta varmistetaan koordinoitu riskienhallinta.

Johdon johdolla olisi perustettava tai nimettävä virallinen organisaatio, rakenne tai sidosryhmien verkosto, joka huolehtii tietoturvaan liittyvien toimien strategisesta ohjauksesta, valvonnasta ja vastuullisuudesta. Tämä johtajuuteen perustuva lähestymistapa varmistaa, että tietoturva saa tarvittavan näkyvyyden ja tuen koko organisaatiossa ja että se on linjassa laajempien liiketoiminta- ja riskienhallintatavoitteiden kanssa.

Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:

• kuka on ensisijaisesti vastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvavaatimusten mukainen.
• ketkä toimivat ISMS:n teemojen omistajina, jotka vastaavat tietoturvallisuuden hallintajärjestelmän pääteemoista.
• kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän toimivuudesta.
• kenellä on valtuudet suorittaa sisäisiä tarkastuksia

ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.

Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

• millainen pätevyys tällä henkilöstöllä tulee olla
• kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
• kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

• määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
• määrittämään tietoturvan hallintaan tarvittavat resurssit
• viestimäään tietoturvallisuuden tärkeydestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.