Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).

Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Kaikki tietoturvatoimenpiteet on valittava ja toteutettava organisaation riskianalyysin tulosten perusteella. Jokaisen tunnistetun riskin ja sen lieventämiseksi valitun toimenpiteen (toimenpiteiden) välillä on oltava selkeä, dokumentoitu yhteys, jolla varmistetaan, että toimenpiteet ovat asianmukaisia ja oikeasuhteisia.Tämä prosessi olisi dokumentoitava soveltuvuusilmoitukseen (Statement of Applicability, SoA) tai vastaavaan riskienkäsittelysuunnitelmaan. Tässä asiakirjassa perustellaan tiettyjen valvontatoimien sisällyttäminen ja esitetään perustelut sellaisille valvontatoimille, joita ei katsota sovellettaviksi.

Organisaation on toteutettava tiedonsiirrot yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä.

Lisäksi tiedonsiirrot on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja.