Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.
Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.
On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.
Tunnista ja dokumentoi organisaation strategia ja prioriteetit, joilla voi olla vaikutusta tietojärjestelmien turvallisuuteen.
On tärkeää huomata, että tämä dokumentaatio olisi tarkistettava aina, kun organisaation strategia ja prioriteetit muuttuvat.