Organisaatiolla on oltava yksityisyyden suojaa ja tietosuojaa koskeva politiikka, jota on päivitettävä säännöllisesti ja jonka organisaation johto on hyväksynyt.

Johdon olisi tarkasteltava organisaation tietoturvan ja yksityisyyden suojan hallintajärjestelmää vähintään kerran vuodessa. Organisaation olisi varmistettava, että johdon arvioinnin tulokset johtavat dokumentoituihin päätöksiin ja toimiin. Jos arvioinnissa todetaan, että organisaation riski ei ole hyväksyttävissä, olisi hyväksyttävä toimintasuunnitelma. Suunnitelmassa on määriteltävä tarvittavat toimenpiteet, määriteltävä vastuualueet ja asetettava määräajat niiden toteuttamiselle.

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

• aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
• tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
• tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
• sidosryhmien antama palaute tietoturvasta
• riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

• organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
• hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.