Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Organisaation johto asettaa tietoturvatavoitteet. Tietoturvatavoitteet täyttävät seuraavat vaatimukset:

• ne ottavat huomioon soveltuvat tietoturva- ja tietosuojavaatimukset sekä riskien arvioinnin ja käsittelyn tulokset
• ne viestitään selvästi tietoturvan ja tietosuojan avainhenkilöille, henkilöstölle sekä muille oleellisille sidosryhmille
• niitä päivitetetään tarvittaessa (esim. riskimaiseman muuttuessa tai määräajoin tavoitteiden täyttyessä)
• ne on dokumentoitu ja ovat (jos mahdollista) mitattavissa

Tietoturvatavoitteiden dokumentoinnin yhteydessä määritellään lisäksi tarvittavat ylätason toimenpiteet, resurssit, vastuuhenkilöt, aikataulu sekä tavat tulosten arviointiin, jotta tavoitteet saavutetaan.

Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.

Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.

Organisaation johdon on osoitettava sitoutumista tietoturvatyötä ja tietoturvallisuuden hallintajärjestelmää kohtaan. Johto sitoutuu:

• määrittämään työn perusteena toimivat vaatimukset (esim. asiakasvaatimukset, lait ja asetukset tai standardit)
• määrittämään tietoturvan hallintaan tarvittavat resurssit
• viestimäään tietoturvallisuuden tärkeydestä
• varmistamaan, että työllä saavutetaan halutut tulokset
• edistämään tietoturvan jatkuvaa parantamista

Johto päättää lisäksi tietoturvan hallintajärjestelmän soveltamisalan ja kirjaa päätöksen ylös hallintajärjestelmän kuvaukseen. Tämä tarkoittaa, rajataanko esimerkiksi joitain osia organisaation toiminnasta tai hallinnoimasta tiedosta pois hallintajärjestelmän piiristä, vai koskeeko se organisaation kaikkea tietoa / toimintaa.

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

• aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
• tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
• tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
• sidosryhmien antama palaute tietoturvasta
• riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:

• Mistä asioista viestitään? Nämä voivat olla mm. uusia tai muuttuneita tietoturvatavoitteita.
• Miten ja milloin viestitään? Mitä kanavia pitkin ja kuinka usein.
• Kenelle viestitään? Miten useasti tietoturvan avainhenkilöille, miten usein koko organisaatiolle tai kumppaneille.
• Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä viesteille pitää esimerkiksi saada hyväksyntä.

Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.