Organisaatiolla on ylimmän johdon laatima ja hyväksymä tietoturvapolitiikka. Politiikka sisältää ainakin seuraavat asiat:

• perustan organisaation tietoturvatavoitteiden asettamiselle
• sitoutumisen tietoturvallisuutta koskevien vaatimusten täyttämiseen
• sitoutumisen tietoturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen

Lisäksi tehtävän omistaja varmistaa, että:

• tietoturvapolitiikka soveltuu organisaation toiminta-ajatukseen
• politiikka on tiedotettu koko organisaatiolle
• politiikka on tarvittaessa sidosryhmien saatavilla

Organisaatio on määritellyt menettelyt tietoturvariskien arvioimiseksi ja käsittelemiseksi. Menettelyihin sisältyy ainakin:

• Riskien tunnistamismenetelmät
• Riskianalyysimenetelmät
• Riskien arviointiperusteet (vaikutus ja todennäköisyys).
• Riskien priorisointi, käsittelyvaihtoehdot ja valvontatehtävien määrittely.
• riskien hyväksymiskriteerit
• Prosessin toteuttamissykli, resursointi ja vastuut
• Tulokset olisi sisällytettävä organisaation riskinhallintaprosessiin.

Tehtävän omistaja tarkistaa säännöllisesti, että menettely on selkeä ja tuottaa johdonmukaisia tuloksia.

Organisaation täytyy määrittää hyväksyttävä taso riskeille. Taso lasketaan riskien todennäköisyyden, vakavuuden ja hallintakeinojen pohjalta.

Organisaatiolla tulee olla prosesseja sen varmistamiseksi, että ristiriitaiset vastuut erotetaan toisistaan, jotta vähennetään mahdollisuuksia käyttää organisaation omaisuutta väärin.

On syytä olla varovainen esim. siitä, että yksittäinen henkilö voi käsitellä tietoja huomaamatta. Usein myös tapahtuman aloittamisen erottaminen sen hyväksymisestä on hyvä käytäntö.

Kun tehtävien suoraa eriyttämistä on vaikea saavuttaa, voidaan käyttää seuraavia periaatteita:

• Tietoturvavastuiden korkeatasoinen erottelu
• Erottelun tukeminen hyvällä seurannalla, kirjausketjuilla ja johdon valvonnalla

Tietoturvan hallintajärjestelmän tulisi valvoa sinne kirjattujen tehtävien ja ohjeistusten toteuttamista.

Tehtävän omistajan tulisi tarkastalle tietoturvan hallintajärjestelmän toteutustilannetta kokonaisuutena säännöllisesti.

Ylimmän johdon on varmistettava selkeät vastuualueet/valtuudet ainakin seuraavissa asioissa:

• kuka on ensisijaisesti vastuussa siitä, että tietoturvallisuuden hallintajärjestelmä on tietoturvavaatimusten mukainen.
• ketkä toimivat ISMS:n teemojen omistajina, jotka vastaavat tietoturvallisuuden hallintajärjestelmän pääteemoista.
• kenellä on vastuu ja valtuudet raportoida ylimmälle johdolle tietoturvallisuuden hallintajärjestelmän toimivuudesta.
• kenellä on valtuudet suorittaa sisäisiä tarkastuksia

ISMS-teemojen omistajat esitellään johtamisjärjestelmän työpöydällä ja tietoturvapoliitiikan raportissa.

Lisäksi ylimmän johdon on varmistettava, että kaikki tietoturvan kannalta merkitykselliset roolit sekä niihin liittyvät vastuut ja valtuudet määritellään ja niistä tiedotetaan. On myös tärkeää tunnistaa ulkoisten kumppaneiden ja palveluntarjoajien roolit ja vastuut.

Organisaatiossa on tarpeeksi koulutettua, valvottua ja tarvittaessa asianmukaisesti turvallisuusselvitettyä henkilöstöä, jotka toimivat tietoturvan avainrooleissa suorittaen tietoturvallisuuden hallintajärjestelmään liittyviä hallintatehtäviä.

Organisaatio on määritellyt:

• millainen pätevyys tällä henkilöstöllä tulee olla
• kuinka pätevyys hankitaan ja varmistetaan (esim. soveltuvan koulutuksen ja koulutuksen seurannan avulla)
• kuinka pätevyys voidaan osoittaa dokumentaation avulla

Tehtävän omistaja katselmoi turvallisuushenkilöstön määrää ja osaamistasoa säännöllisesti.