Organisaation on määritettävä, mistä asioista tietoturvallisuuden hallintajärjestelmään liittyen on säännöllisesti viestittävä. Suunnitelman on sisällettävä vastaukset mm. seuraaviin kohtiin:
- Mistä asioista viestitään? Nämä voivat olla mm. uusia tai muuttuneita tietoturvatavoitteita.
- Miten ja milloin viestitään? Mitä kanavia pitkin ja kuinka usein.
- Kenelle viestitään? Miten useasti tietoturvan avainhenkilöille, miten usein koko organisaatiolle tai kumppaneille.
- Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä viesteille pitää esimerkiksi saada hyväksyntä.
Tehtävän omistaja huolehtii suunnitelman toteuttamisen ja sen tehokkuuden säännöllisen arvioinnin.