Organisaation on määriteltävä, dokumentoitava ja virallisesti hyväksyttävä tietoverkkoturvallisuuskäytännöt ja -toimenpiteet. Tämän kattavan toimenpidekokonaisuuden on oltava sopiva organisaation kokoon, riskiprofiiliin ja monimutkaisuuteen nähden, ja sen on perustuttava virallisen riskianalyysin tuloksiin.Toimenpiteitä määritellessään organisaation on otettava huomioon kansallisessa kyberturvallisuuden viitekehyksessä (QNRCS) annetut suuntaviivat, uusin tekninen kehitys ja asiaankuuluvat kansainväliset standardit (esim. ISO/IEC 27001).

On luotava prosessi, jonka avulla voidaan jatkuvasti seurata uusinta teknistä kehitystä, uusia uhkia ja muutoksia asiaankuuluviin kyberturvallisuusstandardeihin ja -puitteisiin.Tähän prosessiin olisi kuuluttava uhkatiedustelusyötteiden tilaaminen, osallistuminen alan foorumeihin ja QNRCS:n ja muiden hyväksyttyjen standardien päivitysten säännöllinen tarkastelu. Tuloksia on käytettävä organisaation turvatoimien säännölliseen tarkistamiseen ja päivittämiseen sen varmistamiseksi, että ne pysyvät tehokkaina.

Kaikki tietoturvatoimenpiteet on valittava ja toteutettava organisaation riskianalyysin tulosten perusteella. Jokaisen tunnistetun riskin ja sen lieventämiseksi valitun toimenpiteen (toimenpiteiden) välillä on oltava selkeä, dokumentoitu yhteys, jolla varmistetaan, että toimenpiteet ovat asianmukaisia ja oikeasuhteisia.Tämä prosessi olisi dokumentoitava soveltuvuusilmoitukseen (Statement of Applicability, SoA) tai vastaavaan riskienkäsittelysuunnitelmaan. Tässä asiakirjassa perustellaan tiettyjen valvontatoimien sisällyttäminen ja esitetään perustelut sellaisille valvontatoimille, joita ei katsota sovellettaviksi.

Toteutettuja riskienhallintatoimenpiteitä sekä riskienhallinnan kokonaistilannetta tarkastalleen säännöllisesti.

Toimintamalli riskienhallinnan tilan seuraamiseen on selkeästi kuvattu.

Riskikäsittelyn toteuttamisen jälkeen organisaatio arvioi jäljelle jäävän jäännösriskin tason riskikohtaisesti.

Jäännösriskin suhteen tehdään selkeä päätökset riskin omistajan toimesta joko riskin sulkemiseksi tai riskin palauttamiseksi käsittelyjonoon.