Organisaation on virallisesti hyväksyttävä, dokumentoitava ja pantava täytäntöön kattavat turvatoimenpiteet, jotka perustuvat jatkuvan seurantaprosessin havaintoihin. Organisaatiolla on oltava selkeä menettely vaatimusten muuntamiseksi ulkoisista standardeista ja hyvistä käytännöistä organisaation sisäisiksi turvapolitiikoiksi, menettelyiksi ja teknisiksi valvontatoimiksi.

Kaikki tietoturvatoimenpiteet on valittava ja toteutettava organisaation riskianalyysin tulosten perusteella. Jokaisen tunnistetun riskin ja sen lieventämiseksi valitun toimenpiteen (toimenpiteiden) välillä on oltava selkeä, dokumentoitu yhteys, jolla varmistetaan, että toimenpiteet ovat asianmukaisia ja oikeasuhteisia.Tämä prosessi olisi dokumentoitava soveltuvuusilmoitukseen (Statement of Applicability, SoA) tai vastaavaan riskienkäsittelysuunnitelmaan. Tässä asiakirjassa perustellaan tiettyjen valvontatoimien sisällyttäminen ja esitetään perustelut sellaisille valvontatoimille, joita ei katsota sovellettaviksi.

Organisaatio on selkeästi määrittänyt digitaalisen turvallisuuden ylläpitoon sekä kehittämiseen dedikoidun budjetin. Budjetti on riittävä digiturvalle asetettujen tavoitteiden saavuttamiseen.

Digiturvan budjetoinnissa on huomioitava etenkin kolme keskeistä osa-aluetta - henkilöstökulut, teknologiaratkaisut sekä toimintamenot.